Telefonní antispoofing trpí dětskými nemocemi

25. 3. 2024
Doba čtení: 7 minut

Sdílet

 Autor: Depositphotos
Záludnosti antispoofingu mohou zvýšit počet případů, kdy se uživatel nedovolá a operátor zablokuje i legitimní pokus o hovor.

V průběhu roku 2023 začali někteří operátoři kontrolovat správnost telefonních čísel volajícího. Jde jistě o pozitivní součást ochrany proti finančním podvodům, k nimž bývají využívána podvržená čísla volajícího. Volání s vadnými čísly volajícího proto mohou být blokována.

Takové činnosti operátorů se označují za ochranu proti spoofingu (antispoofing). Jako každá novinka má i tato své negativní záludnosti a bude asi nějaký čas trvat, než začne fungovat zcela správně. V současnosti jsou někdy blokovány i legitimní pokusy o hovor.

Kontrola platnosti čísel

Jeden princip antispoofingu spočívá v kontrole, zda číslo volajícího patří mezi platné rozsahy přidělené Českým telekomunikačním úřadem (ČTÚ). Např. zda přicházející volání nepoužilo číslo volaného, které ČTÚ nikdy nepřidělil nebo jehož platnost přidělení už skončila.

U nikdy nepřidělených čísel snad antispoofing funguje kvalitně. U čísel patřících do rozsahů dříve přidělených ČTÚ však mohou nastávat atypické situace.

ČTÚ se letos zaměří na boj se spoofingem, chystá změnu pravidel propojování mezinárodních hovorů Přečtěte si také:

ČTÚ se letos zaměří na boj se spoofingem, chystá změnu pravidel propojování mezinárodních hovorů

Pokud operátor včas nepožádá ČTÚ o prodloužení platnosti rozsahu čísel, pak se čísla stanou „neplatnými“. Přitom ale mohou být užívána oprávněnými účastníky, kterým je operátor v minulosti přidělil. Taková čísla potom budou figurovat jako nepodvržená čísla volajícího, ale dané hovory mohou být v rámci antispoofingu blokovány. Z praxe operátora mohu potvrdit, že takové případy se vyskytují. Zároveň mohu potvrdit, že na takto „zneplatněná“ čísla se překvapivě po řadu měsíců často lze úspěšně dovolat.

Jiný problém nastane, pokud rozsahu čísel vyprší platnost, ale před tím byla z daného rozsahu některá čísla přenesena k jinému operátorovi. Antispoofing by proto logicky měl respektovat, že přenesená čísla byla vyjmuta z neplatného rozsahu a hovory, v nichž figurují jako čísla volajícího, by neměly být blokovány. Z praxe mohu potvrdit, že takovéto hovory někdy blokovány jsou.

Příčinu problému s neplatnými čísly volajícího má odstranit operátor, kterému platnost rozsahu jeho čísel uplynula. Má požádat o nové přidělení rozsahu. Komplikací může být případ, kdy daný operátor ale ukončil svou činnost. V takovém případě může o přidělení či převzetí neplatného rozsahu požádat jiný operátor nebo může být řízením ČTÚ rozsah převeden na operátora obsluhující přenesená čísla. Typickou komplikací však bude, pokud z neplatného rozsahu byla čísla přenesena k několika operátorům. Z vyjádření ČTU plyne, že legislativa takové případy řešit umí:

… ustanovení § 32 odst. 5 zákona o elektronických komunikacích… uvádí, že zanikne-li podnikateli zajišťujícímu veřejnou komunikační síť nebo poskytujícímu veřejně dostupnou službu elektronických komunikací oprávnění k využívání čísel týkající se číselné řady podle číslovacího plánu obsahující čísla, která byla přenesena podle § 34, a nedošlo ke změně držitele oprávnění ani nebyla podána žádost o udělení oprávnění k využívání předmětných čísel splňující podmínky podle § 30, Úřad rozhodne o udělení oprávnění k využívání dotčené číselné řady jednomu z podnikatelů, kteří poskytují na číslech z této číselné řady veřejně dostupné služby elektronických komunikací.

Kontrola vlastnictví čísel

Jiný princip antispoofingu spočívá v kontrole, zda volání přicházející do sítě od jiného operátora nemá číslo volajícího patřící do cílové sítě. To se zdá být nemožné a takové hovory logicky mohou být blokovány.

Policie rozkryla případ vishingových podvodů, obrali celkem 665 lidí Přečtěte si také:

Policie rozkryla případ vishingových podvodů, obrali celkem 665 lidí

Pokud se však jedná o přesměrovaný hovor, pak může volající číslo patřit cílovému operátorovi i u volání přicházejícího ze sítě jiného operátora. Např. volání z mobilního čísla T-Mobile na fixní číslo xPhoNet, které je následně přesměrováno na jiné číslo T-Mobile, pak bude přicházet do sítě T-Mobile a jako číslo volajícího bude figurovat číslo T-Mobile. Kontrola proti spoofingu proto má respektovat informaci o přesměrování hovoru, která má být uvedena v žádosti o hovor a má obsahovat správné číslo, na kterém se přesměrování uskutečnilo.

Služba přesměrování může být realizována v ústředně operátora, v pobočkové ústředně, v telefonní bráně nebo v telefonním přístroji. Ve dnes převažující signalizaci SIP pak v místě, kde dojde k přesměrování, bude SIP žádost INVITE „přeposlána“ na nové číslo volaného a zároveň do ní má být přidána informace o přesměrování. K tomu slouží řádek Diversion nebo řádek History-info, které mají obsahovat původní volané číslo, na němž se přesměrování uskutečnilo:

INVITE sip:602XXXXXX@A.B.C.D SIP/2.0
Call-ID: a88c9478-e7d6c0b6–4fa090d2–800a048c
Contact: sip:602XXXXXX@A.B.C.D
CSeq: 102 INVITE
From: „602XXXXXX“ <sip:602XXXXXX@A.B.C.D>;tag=a09c77a09c3fa0ac­2da0cc26
To: sip:602XXXXXXX@A.B.C.D
Diversion:  <sip:210XXXXXX@A.B.C.D>;pri­vacy=off;counter=1;reason=u­ser-busy
Via: SIP/2.0/UDP A.B.C.D;branch=z9hG4bK-659ce4c2659d1b3718
Max-Forwards: 30
Subject: SIP Call
Content-Type: application/sdp
Accept: application/sdp
User-Agent: PhoNetSipSmer
Content-Length: 230
… etc.

Pokud však některá ústředna či zařízení přesměrování realizuje jako prostý tranzit volání z původního čísla volajícího na nové číslo volaného, pak SIP žádost INVITE neobsahuje řádek Diversion ani History-info a může dojít k zablokování hovoru v síti cílového operátora. Důvodem je podezření na spoofing, byť číslo volajícího nebylo podvrženo. Z praxe operátora potvrzuji, že tyto případy nejsou výjimečné.

Jiným problémem bývá nesprávné číslo uvedené v řádku Diversion nebo History-info. Některé ústředny či zařízení do těchto řádků SIP žádosti INVITE chybně vkládají původní volající nebo nové volané číslo. I v těchto případech mohou být podobné hovory v síti cílového operátora blokovány, byť k podvržení čísla volajícího nedošlo. Z mé praxe mohu potvrdit, že podobné chyby se rovněž vyskytují.

Dalším problémem jsou modifikace SIP žádostí INVITE na cestě mezi místem přesměrování a sítí cílového operátora. Po cestě může dojít k vypuštění nebo konverzi řádků Diversion a History-info nebo k úpravě obsahu či formátu čísla uvedeného v tomto řádku. Takové hovory pak mohou být opět blokovány, byť žádné podvržení volajícího nenastalo. Jako operátor jsem se s touto chybou potkal pouze jednou, při konverzi z národního na mezinárodní formát přesměrovaného čísla.

Příčiny nesprávné blokace přesměrovaných hovorů jsou v ústředně či zařízení realizující přesměrování. Obětí blokace je ale volající účastník, který je přitom logicky zákazníkem operátora, který provedl blokování volání s nepodvrženým volajícím.

Několik poznámek

Výše popsané záludnosti ochrany proti telefonnímu spoofingu určitě nebudou úplné. Jde o příklady dětských nemocí antispoofingu. Podobně tomu dříve bylo u ochrany proti hovorům na drahá zahraniční čísla (fraudům).

Možností, jak podvrhnout číslo volajícího, je mnoho. Jejich popis ale není vhodné publikovat.

Podvodných telefonátů přibývá. Firmy mohou útočníkům ztížit práci, většina to ale nedělá Přečtěte si také:

Podvodných telefonátů přibývá. Firmy mohou útočníkům ztížit práci, většina to ale nedělá

Problémem nejsou volání se skrytým číslem volajícího, neboť ve skutečnosti je v SIP žádosti INVITE uvedeno a volanému se pouze nezobrazuje. Ochrana proti spoofingu ho proto má k dispozici. Za komentář asi nestojí amatérské případy, kdy číslo volajícího vůbec uvedeno není, neboť to je dostatečný důvod k blokaci hovoru.

Vyšetřování finančních podvodů provádí Policie ČR. Identifikaci uživatelů čísel provádí Útvar zvláštních činností Policie ČR formou lustrace u operátorů. U podvržených čísel však tento postup selhává, neboť operátor Policii ČR může sdělit pouze oficiálního účastníka, kterému telefonní číslo přidělil.

Policie ČR má možnost pomocí operátorů vytrasovat cestu hovoru s podvrženým volajícím a zjistit skutečného volajícího. V praxi jsem se s tímto postupem ale nikdy nepotkal. V jednom případě jsem Policii ČR poskytl popis postupu. Šlo o pomoc účastníkovi, jehož číslo bylo podvrženo, a docházelo ke zmatečným zpětným voláním. Policie ČR ale o vytrasování podvodných hovorů neměla zájem. Nutno přiznat, že volání s podvrženým volajícím mohou přicházet ze zahraničí a tam může být součinnost problematická.

Technické příčiny neúspěšnosti volání se pohybují v rozpětí 0 až 5 % (po odečtení pasivity volaného). Jelikož počet nesprávně realizovaných přesměrování není malý, může se tím nedovolatelnost zvýšit o další jednotky procent. Navíc nejde o náhodnou technickou poruchu, ale o „poruchu“ trvalou (systémovou). Většina problémů je dána buď vlastností ústředny (např. verzí SW) nebo její chybnou konfigurací (např. neznalostí správce). Problémy se nejčastěji vyskytují ve firemních pobočkových ústřednách a v ústřednách menších operátorů (např. Asterisk, 3CX, Panasonic, …).

Popsané záludnosti by měli znát zejména pracovníci operátorů, kteří provozují vlastní telefonní ústředny. Velkých operátorů je do deseti a ti problematiku dobře znají. Pro vyšší desítky malých a středních VoIP operátorů to však mohou být novinky.

  • Chcete mít Lupu bez bannerů?
  • Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
  • Chcete mít k dispozici strojové přepisy podcastů?
  • Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
  • Chcete získat slevu 1 000 Kč na jednu z našich konferencí?

Staňte se naším podporovatelem

Autor článku

Ing. Ivo Fišer je ředitelem firmy xPhoNet, která se zabývá poskytováním hlasových služeb či vývojem telefonního softwaru. 

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).