Взлом клиентской АТС

Unilink · July 5, 2014

Приветсвую,

хочу поделиться информацией о новом для нас типе взлома клиентских АТС. Послушать опыт форумчан и поделиться мнением как бороться.

Что клиентскую АТС надо защищать - понятно. Но есть ещё тип клиента который приходит со своей АТС, сам её настраивает и ни в какую не готов

обсуждать защиту от взлома пока не взломали.......Думает, что хотим с него бабки просто срубить или ещё как обмануть.

Раньше сталкивались со взломом и прокачкой большого объёма звонков в короткий срок на сверхдорогие направления. Например на спутники, Кубу итд.

Научились с этим бороться без участия клиента. Направления блокируются при достижении определённого порога и всё.

В июне столкнулись с новым видом взлома. У одного клиента юрика ежедневно на Новосибирские номера (1-2 номера) уходило по 3000-5000р. Сумма настолько

незначительна и направление настолько некритично, что никто не заметил и система даже не была на такое настроена. Назвонили на 150тр.

ОК, номера в чёрный список, клиент готов вдруг защитить свою АТС. Но что со следующими такими номерами и следующим таким клиентом?

Не закрывать же Новосибирск, Владивосток, Хабаровск если в день звонят на 5000р туда?

У кого есть идеи или алгоритмы которые ещё и просто внедрить при большой абонентской базе юриков? Да, можно всегда дожимать своего клиента что-бы он защитил свою станцию, но

элегантнее это решить у себя.

Успеха

Александр

palich · July 7, 2014

А какой системой Вы блокировали злонамеренные вызовы?

Очень интересно.

Tau · July 7, 2014

У одного клиента юрика ежедневно на Новосибирские номера (1-2 номера) уходило по 3000-5000р. Сумма настолько

незначительна и направление настолько некритично, что никто не заметил и система даже не была на такое настроена.

А номера были обычные или премиум?

Zettalain · July 7, 2014

Систама - громко сказано. Комбинацией из "чёрного списка", блокировки спутников полностью тем кто строптиво отказывается от защиты АТС ну

и ежедневный "мануальный" контроль биллинга на нетипичное возрастание МГ/МН по всей клиентской базе. Типичный ежедневный прирост МГ/МН колеблется в довольно узком диапозоне "Сумма прироста" плюс минус 5000р.

palich · July 7, 2014

Комбинацией из "чёрного списка", блокировки спутников полностью тем кто строптиво отказывается от защиты АТС ну

и ежедневный "мануальный" контроль биллинга на нетипичное возрастание МГ/МН по всей клиентской базе. Типичный ежедневный прирост МГ/МН колеблется в довольно узком диапозоне "Сумма прироста" плюс минус 5000р.

Я правильно понял, что "черный список" Вы наполняете руками, т.е. просто определенным клиентам правилами маршрутизации запрещаете выходить на дорогие направления?

И правильно ли я понял, что биллинг Вы "шерстите" тоже вручную?

Aleck_K · July 8, 2014

У нас фродконтроль блокирует аккаунт при ~30 вызовах одинакового номера за последний час. Отбиваются схема, когда поднимается большое кол-во одновременных вызовов на любой номер в т.ч премиальный, плюс блокируются хулиганы-флудеры. При такой блокировке ваша схема фрода, наверное, не сработала бы.

Unilink · July 8, 2014

Комбинацией из "чёрного списка", блокировки спутников полностью тем кто строптиво отказывается от защиты АТС ну

и ежедневный "мануальный" контроль биллинга на нетипичное возрастание МГ/МН по всей клиентской базе. Типичный ежедневный прирост МГ/МН колеблется в довольно узком диапозоне "Сумма прироста" плюс минус 5000р.

Я правильно понял, что "черный список" Вы наполняете руками, т.е. просто определенным клиентам правилами маршрутизации запрещаете выходить на дорогие направления?

И правильно ли я понял, что биллинг Вы "шерстите" тоже вручную?

да правильно, а какие есть для этого бюджетные тулы?

palich · July 8, 2014

У нас фродконтроль блокирует аккаунт при ~30 вызовах одинакового номера за последний час.

А что за фродконтроль Вы используете? Хотелось бы послушать отзывы, впечатления...

да правильно, а какие есть для этого бюджетные тулы?

вот ответ на этот вопрос мы как раз и ищем. самая бюджетная тулза - это самописная, но это не самый верный подход к решению задачи, на мой взгляд

QWE · July 8, 2014

В июне столкнулись с новым видом взлома. У одного клиента юрика ежедневно на Новосибирские номера (1-2 номера) уходило по 3000-5000р. Сумма настолько

незначительна и направление настолько некритично, что никто не заметил и система даже не была на такое настроена. Назвонили на 150тр.

ОК, номера в чёрный список, клиент готов вдруг защитить свою АТС. Но что со следующими такими номерами и следующим таким клиентом?

Не закрывать же Новосибирск, Владивосток, Хабаровск если в день звонят на 5000р туда?

Если есть биллинг, то в нем есть ТП с направлениями. Можно ввести порог списания по любому из МГ направлению, для каждого абонента разумеется. Думаю не сложно проанализировать трафик каждого абонента в разрезе направлений и определиться с величиной порога для начала. Если кто будет его пробивать - повысите индивидуально.

Судя по тому что Вы говорите, у Вас контролируется трафик всех абонентов и поэтому с этой точки зрения 5000р абсолютно не критично.

Что касается желания поюзать СИСТЕМУ а не самописное, на мой взгляд это лишнее. Все равно все сведется к тому, что нужно считать деньги - суммы списаний абонентов за вызовы.

У себя контролирую только МН трафик. Главным образом слежу за суммой списания абонента за интервал времени 15 минут, это не паранойя :), и общую сумму списания в сутки. + есть еще несколько фишек.

У любой СИСТЕМЫ есть порог нечувствительности.

Edited July 9, 2014 by QWE

jams · July 9, 2014

Александр добрый день!

отправил Вам сообщение в личку.

palich · July 9, 2014

Что касается желания поюзать СИСТЕМУ а не самописное, на мой взгляд это лишнее. Все равно все сведется к тому, что нужно считать деньги - суммы списаний абонентов за вызовы.

Согласен с Вами. Но что делать, если биллинг считает стоимость вызовы уже после его завершения? Т.о. назвонить смогут ого-го, а выяснится это только через сутки - это самое раннее.

Unilink · July 9, 2014

Что касается желания поюзать СИСТЕМУ а не самописное, на мой взгляд это лишнее. Все равно все сведется к тому, что нужно считать деньги - суммы списаний абонентов за вызовы.

Согласен с Вами. Но что делать, если биллинг считает стоимость вызовы уже после его завершения? Т.о. назвонить смогут ого-го, а выяснится это только через сутки - это самое раннее.

у нас именно так, биллинг считает раз в сутки

QWE · July 9, 2014

онлайн биллинг вам в помощь

т.е. вызов с АТС упал в биллинг и биллинг его сразу посчитал (или с опозданием в 5 минут)

Edited July 9, 2014 by QWE

QWE · July 9, 2014

Что касается желания поюзать СИСТЕМУ а не самописное, на мой взгляд это лишнее. Все равно все сведется к тому, что нужно считать деньги - суммы списаний абонентов за вызовы.

Согласен с Вами. Но что делать, если биллинг считает стоимость вызовы уже после его завершения? Т.о. назвонить смогут ого-го, а выяснится это только через сутки - это самое раннее.

Раз в сутки это очень большая дыра в защите от фрода на основе данных из биллинга.

Edited July 9, 2014 by QWE

Aleck_K · July 9, 2014

А что за фродконтроль Вы используете? Хотелось бы послушать отзывы, впечатления...

Фродконтроль самописный, сделан на основе многолетнего собственного опыта. Сейчас "отбивает" почти все взломы, потери клиента редко превышают 1круб. К сожалению, как и во вногих самописных системах, документации и четкого описания алгоритмов нет. Ключевые идеи - подсчет среднего расхода средств по счету клиента, контроль вызовов на повторяющиеся номера, база "засвеченных" фродовых номеров/направлений и контроль вызовов на них. До 80% атак отбиваются по последнему признаку.

у нас именно так, биллинг считает раз в сутки

работающий фродконтроль невозможно реализовать в таких условиях

Edited July 9, 2014 by Aleck_K

Sign In

Взлом клиентской АТС

Recommended Posts

Unilink

palich

Tau

Zettalain

palich

Aleck_K

Unilink

palich

QWE

jams

palich

Unilink

QWE

QWE

Aleck_K

Join the conversation