درخواست پشتیبانی

حملات Toll Fraud در VoIP و راه‌های مقابله با آن

Toll Fraud Attacks
فهرست مطالب

در معماری‌های مدرن VoIP و کال‌سنتر، دیگر بزرگ‌ترین تهدید تنها «Down شدن سرور» نیست؛ بلکه سناریوهایی است که در آن مهاجم بدون جلب توجه، زیرساخت تلفنی شما را به موتور چاپ هزینه‌های نجومی تبدیل می‌کند. حملات Toll Fraud یا سواستفاده از ترافیک تلفنی امروز یکی از تخصصی‌ترین و در عین حال پرهزینه‌ترین انواع حملات علیه سیستم‌های VoIP ،SIP Trunk و کال‌سنترهاست؛ حمله‌ای که اگر برای مقابله با آن به درستی تقویت نشده باشید، می‌تواند طی فقط یک آخر هفته، هزینه چند ماه سازمان را روی قبض مخابرات شما بنشاند.

Toll Fraud در VoIP چیست و چرا خطرناک است؟

در Toll Fraud، مهاجم از منابع تلفنی شما (SIP Trunk، خطوط شهری، شماره‌های بین‌المللی، SIP Accountها) برای برقراری تماس به مقصدهایی که خودش تعیین کرده استفاده می‌کند؛ معمولا شماره‌های Premium، مقصدهای با تعرفه بالا یا سناریوهای IRSF (International Revenue Share Fraud).
نکته مهم برای متخصصان این است که Toll Fraud صرفا یک سواستفاده از Credential نیست، بلکه ترکیبی از ضعف‌های زیر است:

  • طراحی اشتباه Dial Plan و Routeها
  • نبود Rate-Limit و Quota برای اکستنشن‌ها و Trunkها
  • نبود مانیتورینگ Real-Time روی الگوهای ترافیک
  • امنیت ضعیف در لایه سیگنالینگ (SIP) و مدیریت (Web GUI ،API ،SSH)

در نتیجه، حمله می‌تواند هم از بیرون (Internet-facing SIP) و هم از داخل شبکه (اکستنشن آلوده، کاربر داخلی مخرب، Credential لو رفته) آغاز شود.

الگوهای متداول Toll Fraud در شبکه‌های VoIP

در محیط‌های کال‌سنتر و PBXهای سازمانی، سناریوهای زیر از متداول‌ترین الگوهای حمله هستند:

۱. Brute-Force روی اکستنشن‌ها و SIP Accounts

  • اسکن Range اکستنشن‌ها (مثلا ۱۰۰۰ تا ۱۹۹۹)
  • تست پسوردهای ساده یا پیش‌فرض (extension number ،1234 ،0000 ،companyname)
  • در صورت موفقیت، ثبت‌نام (REGISTER) و برقراری تماس از طریق همان اکانت

۲. سواستفاده از DISA ،IVR و Voicemail

  • دسترسی به منوی داخلی که اجازه Outbound Dial بدون احراز هویت قوی می‌دهد
  • هک Voicemailهایی که PIN ضعیف دارند و استفاده از قابلیت Call-Back یا Outdial
  • تزریق DTMF در سناریوهای ناقص Secure IVR

۳. Hijacking نشست‌های SIP یا سواستفاده از Trunk

  • دسترسی به IP-PBX یا SBCای که روی اینترنت Publish شده و ACL درستی ندارد
  • سواستفاده از Trunkهای بین سایت‌ها (Site-to-Site) که بدون محدودیت Prefix یا CallerID تعریف شده‌اند
  • ارسال INVITEهای مستقیم به SBC یا Media Gateway و عبور از PBX در صورت ضعف در Session Policy

۴. MIS-routing و ضعف در Dial Plan

  • Routeهایی که به جای محدود شدن به Prefixهای مشخص، همه مقصدها را قبول می‌کنند
  • نبود محدودیت زمانی (مثلا عدم منع تماس بین‌الملل در خارج از ساعات اداری)
  • نبود تفکیک مسیر بر اساس Tenant/Queue/Group در محیط‌های چندسازمانی (Multi-tenant)

برای متخصصی که Dial Plan را طراحی می‌کند، Toll Fraud در واقع یک مسئله Routing و Policy است، نه فقط یک مسئله امنیتی.

نقش SBC و Session Management در کاهش ریسک Toll Fraud

در معماری‌های حرفه‌ای VoIP، اولین نقطه جدی برای کنترل Toll Fraud، چیزی نیست بجز Session Border Controller یا همان SBC. برخی از قابلیت‌های کلیدی SBC در این حوزه:

  • Topology Hiding و Stateful Inspection روی SIP
    جلوگیری از آنکه مهاجم به‌صورت مستقیم ساختار داخلی PBX ،IP داخلی و Patternهای شماره‌گذاری شما را ببیند.
  • Policyهای دقیق بر اساس Destination ،Prefix ،Time و Caller Profile
    • تعریف حداکثر طول تماس برای ترافیک پرریسک (مثلا مقصدهای موبایل بین‌المللی)
    • محدود کردن کشورها یا Prefixهای خاص (Country Blacklist/Whitelist)
    • اعمال محدودیت همزمانی تماس (Concurrent Calls) بر هر Trunk ،DID یا Tenant
  • Rate Limiting و Anomaly Detection در سطح سیگنالینگ
    • شناسایی حجم غیرعادی از INVITEها از یک IP یا User Agent
    • Drop کردن ترافیک مشکوک قبل از رسیدن به PBX
    • یک‌پارچگی با سیستم‌های IDS/IPS و SIEM برای Correlation رویدادها

بدون SBC یا حداقل Session Management هوشمند، هرگونه سخت‌گیری روی PBX، یک گام دیرتر اعمال می‌شود؛ جایی که بسیاری از حملات از قبل به Trunk و منابع بیلینگ دسترسی یافته‌اند.
یکی از قابلیت‌های کلیدی SBC چکاوک، مخفی‌سازی توپولوژی است که با استفاده از Session Border Controller، ساختار داخلی PBX ،IP و Patternهای شماره‌گذاری شما را پنهان کرده و از حملات مرتبط جلوگیری می‌کند. این ویژگی علاوه بر ارتقا امنیت، نظارت کامل بر Sessionهای تماس را فراهم کرده و از دسترسی غیرمجاز جلوگیری می‌کند. با پشتیبانی از ۱۰,۰۰۰ سیگنالینگ هم‌زمان SIP، ما با SBC چکاوک تضمین می‌کنیم که شبکه VoIP شما حتی در شرایط پیچیده نیز پایدار و قابل اعتماد باقی بماند.

طراحی استراتژی ضد Toll Fraud در سطح سازمان

برای جلوگیری واقعی (و نه صرفا روی کاغذ) از Toll Fraud، باید هم‌زمان در چند لایه سیاست‌گذاری انجام شود:

۱. لایه User و Extension

  • اعمال Password Policy جدی (حداقل طول، Complexity ،Expiry) برای SIP Accountها
  • محدودیت‌های اختصاصی برای هر User/Group:
    • سقف روزانه/ماهانه هزینه
    • حداکثر تعداد تماس هم‌زمان
    • محدود کردن International و Premium Destinations به کاربران مشخص

۲. لایه Dial Plan و Routing

  • تعریف Route جداگانه برای ترافیک Low-Risk و High-Risk
  • ایجاد Blacklist/Whitelist بر اساس Prefix ،Country Code و Number Pattern
  • فعال‌سازی Time Conditionها برای ترافیک پرریسک (مثلا ممنوعیت تماس بین‌الملل در شب و آخر هفته)

۳. لایه Monitoring و CDR Analytics

  • مانیتورینگ Real-Time روی CDR و SIP Logs برای تشخیص الگوهای غیرعادی:
    • افزایش ناگهانی ASR/ACD غیرعادی
    • تعداد زیاد تماس‌های کوتاه به یک Prefix خاص
    • جهش حجم Outbound در بازه زمانی خاص
  • تعریف Alert بر اساس Ruleهای مشخص، نه صرفا Threshold کلی ترافیک

۴. لایه Perimeter و Network Security

  • محدود کردن دسترسی به پورت‌های SIP/RTP به IPهای مشخص (ACL)
  • استفاده از VPN برای اتصال Remote Extensionها به جای باز کردن SIP روی اینترنت
  • استفاده از ابزارهایی مانند Fail2Ban برای Block کردن IPهایی با رفتار Brute-Force روی SIP

در مقابله با حملات Toll Fraud، مسیریابی هوشمند و لود بالانسینگ یکی از ارکان مهم است که SBC چکاوک به‌طور ویژه از آن پشتیبانی می‌کند. این ویژگی به توزیع بار در شبکه کمک کرده و از بروز اختلالات در کیفیت تماس‌ها جلوگیری می‌کند. علاوه بر این، با پشتیبانی از IPtables و امکان محدودیت دسترسی IP، ما با SBC چکاوک یک لایه امنیتی اضافی فراهم کرده‌ایم که امکان دسترسی غیرمجاز را کاهش می‌دهد. همچنین، با پشتیبانی از استاندارد RFC 5853، این سیستم می‌تواند در تمام محیط‌های مخابراتی پیاده‌سازی شود.

سناریوی عملی Toll Fraud در یک کال‌سنتر

تصور کنید یک کال‌سنتر با ۲۰۰ اپراتور و چند SIP Trunk بین‌الملل فعال است:

  • اکستنشن‌ها روی Softphoneهای Remote ثبت شده‌اند و SIP روی اینترنت باز است.
  • روی Trunk بین‌الملل، هیچ Prefix محدود نشده و صرفا «International Allowed» فعال است.
  • CDRها روزانه، آن هم به شکل دستی، بررسی می‌شوند.

در این سناریو، یک مهاجم با اسکن پورت ۵۰۶۰ و تست چند Range اکستنشن، چند Credential را پیدا می‌کند. سپس:

  • در ساعات غیراداری (مثلا ۲ تا ۴ صبح) حجم زیادی تماس Outbound به مقصدهای Premium بین‌المللی ارسال می‌کند.
  • هر تماس ۳۰ تا ۴۵ دقیقه طول می‌کشد تا درآمد حداکثری برای مقصد ایجاد شود.
  • تا صبح، ده‌ها میلیون تومان هزینه روی Trunk می‌نشیند، در حالی که سیستم هیچ Alert فعالی نداشته است.

اگر همان سازمان:

  • برای هر اکستنشن سقف تماس بین‌الملل (Credit Limit)
  • محدودیت تعداد تماس هم‌زمان
  • سیاست Time-Based Routing برای ترافیک International
  • Alert روی CDR برای Destinationهای High-Risk

تعریف کرده بود، حمله در همان دقایق اول متوقف می‌شد.

Toll Fraud در عصر Cloud PBX و SIP Trunking

با جابه‌جایی زیرساخت‌ها به Cloud و استفاده گسترده از SIP Trunkهای ابری، سطح حمله Toll Fraud گسترده‌تر شده است:

  • محیط‌های Multi-Tenant Cloud PBX در صورت عدم ایزولاسیون صحیح، امکان سواستفاده Cross-Tenant را فراهم می‌کنند.
  • APIهای مدیریت PBX و Billing، در صورت امنیت ناکافی، امکان تغییر Policyها و Creditها را برای مهاجم فراهم می‌کنند.
  • اتصال‌های Hybrid (On-Prem + Cloud) اگر طراحی نشوند، Toll Fraud می‌تواند از یک سمت شروع و از سمت دیگر هزینه ایجاد کند.

در این فضا، دیگر فقط Secure کردن IP-PBX کافی نیست؛ باید زنجیره کامل از Endpoint تا Cloud SBC ،Billing و CRM را به‌عنوان یک Attack Surface واحد در نظر گرفت.

مزایای پیاده‌سازی راهکار ضد Toll Fraud در سازمان‌ها

۱. کنترل هزینه و پیش‌بینی‌پذیری بیلینگ

  • تعریف Hard Limit و Soft Limit روی ترافیک و هزینه، به تفکیک Trunk ،Queue ،Tenant و User.

۲. افزایش Trust بین واحدهای فنی و مالی

  • ارائه گزارش‌های شفاف و تکنیکال از نحوه اعمال سیاست‌ها و محدودیت‌ها، که برای واحد مالی قابل فهم است.

۳. کاهش ریسک عملیاتی در پروژه‌های بزرگ VoIP

  • امکان Rollout امن برای شعب جدید بدون نگرانی از سواستفاده در مراحل اولیه.

۴. یک‌پارچگی با سیستم‌های امنیتی موجود

  • ارسال Alertها و Eventهای مرتبط با Toll Fraud به SIEM ،NOC و SOC سازمان برای Correlation با سایر رخدادهای امنیتی.

جمع‌بندی

Toll Fraud دیگر یک تهدید «حاشیه‌ای» در VoIP نیست؛ برای سازمان‌هایی که از SIP Trunk ،Cloud PBX، کال‌سنترهای چندسایته و ارتباطات بین‌المللی استفاده می‌کنند، این حمله یک ریسک تجاری مستقیم است.
راهکار مقابله با آن، نصب یک ماژول یا تیک زدن یک گزینه در PBX نیست؛ بلکه طراحی یک استراتژی چندلایه است که از Dial Plan و SBC تا CDR Analytics و Security Policy را پوشش دهد. سازمان‌هایی که این موضوع را جدی می‌گیرند، علاوه بر کاهش چشم‌گیر ریسک و هزینه، می‌توانند با اطمینان بیشتری زیرساخت تلفنی خود را توسعه داده و سرویس‌های جدید ارائه کنند.

درباره شرکت چکاوک

شرکت چکاوک با تجربه عملی در طراحی و پیاده‌سازی زیرساخت‌های VoIP، کال‌سنتر، SIP Trunking و SBC در مقیاس سازمانی، راهکارهای تخصصی برای شناسایی، پیشگیری و مانیتورینگ حملات Toll Fraud ارائه می‌کند.
از طراحی Dial Plan و Policyهای ضد Toll Fraud گرفته تا استقرار SBCهای حرفه‌ای، یکپارچه‌سازی با سیستم‌های بیلینگ و پیاده‌سازی Dashbordهای مانیتورینگ Real-Time، چکاوک به تیم‌های فنی کمک می‌کند تا زیرساخت ارتباطی خود را به سطحی برسانند که در برابر حملات پیچیده و پرهزینه Toll Fraud مقاوم باشد.

اگر می‌خواهید ما در چکاوک بر اساس شبکه و سناریوی کسب‌وکارتان یک برآورد و طرح فنی تهیه کنیم، خوشحال می‌شویم جلسه مشاوره و دموی اختصاصی تنظیم کنیم. اطلاعات تماس خود را ارسال کنید یا برای هماهنگی با تیم فنی با شماره ۲۹۷۰۰۶۰۰-۰۲۱ تماس بگیرید.

آخرین مطالب

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *