Телеком 6 хв читання

Сигнальна безпека та антифрод у мережах операторів: захист SS7, Diameter та протидія IRSF

Огляд методів захисту сигнальних протоколів SS7 та Diameter. Як оператори можуть протидіяти шахрайським схемам IRSF та Wangiri для збереження безпеки мережі.

Глобальний телекомунікаційний сектор продовжує стикатися з безпрецедентним тиском з боку організованої кіберзлочинності. За даними звіту CFCA Global Fraud Loss Survey, глобальні втрати від телеком-шахрайства у 2025 році оцінено приблизно у 41.82 мільярда доларів, що демонструє стрімке зростання порівняно з 38.95 мільярда доларів у 2023 році. Основною рушійною силою цього процесу залишається експлуатація фундаментальних уразливостей у застарілих сигнальних протоколах, які використовуються для забезпечення глобального роумінгу та маршрутизації викликів.

Для сучасного оператора зв’язку побудова надійного контуру безпеки — це критична умова захисту доходів та збереження довіри корпоративних клієнтів. Перехід до нових стандартів зв'язку та відкритих архітектур не вирішує проблему автоматично, адже необхідність підтримки зворотної сумісності змушує операторів роками експлуатувати legacy-протоколи, створюючи вектори для складних атак на стику технологічних поколінь.

Анатомія сигнальних загроз: чому SS7 та Diameter залишаються відкритими дверима для зловмисників

Сигнальна мережа SS7 (Signaling System No. 7) проектувалася в епоху, коли доступ до неї мали лише кілька довірених державних монополістів. У її архітектуру не закладалися механізми автентифікації відправника сигнальних пакетів. Сьогодні будь-який зловмисник, що нелегально отримав точку підключення (Point Code) через скомпрометованих провайдерів, може надсилати службові повідомлення в будь-яку точку світу.

Протокол Diameter, який прийшов на зміну SS7 у мережах 4G (LTE), мав вирішити проблеми безпеки завдяки використанню IPsec або TLS на транспортному рівні. Проте на практиці Diameter успадкував ту саму модель довіри на прикладному рівні. Якщо зловмисник отримує доступ до прикордонного сигнального контролера хоча б одного оператора в роумінговому консорціумі, він отримує можливість атакувати абонентів глобально.

Агентство Європейського Союзу з кібербезпеки ENISA у своєму звіті ENISA Threat Landscape проаналізувало 4 875 інцидентів за період з 1 липня 2024 до 30 червня 2025 року, підтвердивши, що експлуатація legacy-протоколів сигналізації залишається перманентним безпековим ризиком для мобільних мереж. Найбільш поширеними векторами атак є:

  • Перехоплення SMS-трафіку: Шляхом надсилання підробленого повідомлення Update Location зловмисник змушує мережу вважати, що абонент знаходиться в його віртуальному комутаторі. Усі вхідні SMS, включно з одноразовими паролями (2FA), перенаправляються на обладнання атакуючого.
  • Визначення геолокації: Запити дозволяють без відома абонента отримати ідентифікатор стільника (Cell ID), розкриваючи точне місцезнаходження пристрою.
  • Denial of Service (DoS): Надсилання некоректних сигнальних пакетів може призвести до відключення абонента від мережі або перевантаження сигнальних вузлів (STP/DRA).

Аналіз схем IRSF та Wangiri: як технічна вразливість конвертується у фінансові збитки

Сигнальні вразливості є каталізатором для складних фрод-схем, які завдають безпосередніх фінансових збитків операторам. Найбільш руйнівними серед них є схеми IRSF та Wangiri.

International Revenue Share Fraud (IRSF)

За даними звіту CFCA (дані за 2023 рік), втрати від IRSF склали близько 6.23 мільярда доларів. Суть схеми полягає в генерації несанкціонованого високотарифного трафіку на преміум-номери (Premium Rate Numbers) у країнах із високими ставками інтерконекту.

Для реалізації IRSF шахраї часто використовують уразливості в корпоративних SIP-транках або купують SIM-карти за допомогою викрадених персональних даних. Останній метод пов'язаний із шахрайством із підписками (Subscription fraud), яке генерує близько 5.31 мільярда доларів щорічних збитків. Отримавши доступ до ресурсів, зловмисники запускають масовий автодозвон на преміум-номери, які вони самі ж орендують. Поки оператор виявить аномальну активність, рахунок за міжнародний інтерконект може вимірюватися сотнями тисяч доларів.

Wangiri (зворотні виклики)

Ця схема орієнтована на провокування зворотного виклику. Генератор викликів масово обдзвонює базу номерів оператора, скидаючи виклик після першого гудка (часто супроводжується підміною номера відправника — A-number spoofing). Абонент перетелефонує на міжнародний номер з високим тарифом. Шахраї використовують інтерактивні голосові меню (IVR), щоб утримувати абонента на лінії якомога довше.

Гібридна архітектура: захист сигнального стику при переході від legacy до cloud-native

Еволюція телеком-мереж спрямована на впровадження концепцій TM Forum Open Digital Architecture (ODA), яка замінює монолітні BSS/OSS на компонентовану, API-first архітектуру. Водночас релізи консорціуму 3GPP визначають функціональність 5G Standalone та подальший розвиток мереж на базі сервіс-орієнтованої архітектури, де сигналізація здійснюється через протокол HTTP/2.

Проте перехід на 5G Standalone не ліквідує загрози сигналізації автоматично. Оператори підтримують гібридне середовище, де 5G-ядро взаємодіє з 4G (Diameter) та 2G/3G (SS7) для забезпечення роумінгу. Це створює нові вектори атак: зловмисник може надіслати шкідливий запит із мережі SS7, який буде трансльований шлюзом (Interworking Function) у Diameter або HTTP/2 повідомлення всередині 5G-ядра. Захист такого гібридного стику вимагає наскрізного моніторингу сигнальних подій між різними технологічними поколіннями.

Технологічні бар'єри: роль Signaling Firewalls та механізмів SIP Identity

Для захисту мереж оператори впроваджують комплекс спеціалізованих технічних засобів:

  1. Signaling Firewalls (SS7/Diameter): Екрани аналізують вхідний сигнальний трафік. Вони фільтрують пакети, які ніколи не повинні надходити з роумінгу (Category 1 та 2 за специфікаціями GSMA), та здійснюють аналіз стану сесії (Category 3 stateful inspection). Наприклад, перевіряється швидкість переміщення абонента: якщо запит Update Location надходить з іншого континенту через 5 хвилин після попередньої активності, він блокується.
  2. Механізми SIP Identity (RFC 8224): Для захисту голосового трафіку на рівні SIP використовується стандарт IETF RFC 8224, який описує автентифікацію ідентичності. Технологія STIR дозволяє ініціатору підписувати Caller ID криптографічним сертифіктом. Це зменшує ризик підміни номера на транзитному рівні. Водночас механізм не є панацеєю від IRSF, оскільки не запобігає легітимним викликам на преміум-номери зі скомпрометованих акаунтів.

Побудова інтегрованого контуру антифроду: від моніторингу до захищеного білінгу

Ефективна протидія фроду вимагає інтеграції засобів сигнальної безпеки з комерційними системами тарифікації в реальному часі. Оператор повинен мати можливість автоматично блокувати аномальні напрямки на рівні голосового ядра до виникнення фінансових втрат.

Для операторів зв'язку та enterprise-клієнтів технологічний альянс Intecracy Group пропонує модернізацію телеком-архітектури із застосуванням операторської VoIP-платформи DooxSwitch. Вона об'єднує функції комутації, оптимізації маршрутів (LCR) та білінгу в реальному часі. Завдяки інтегрованому аналізу CDR платформа дозволяє миттєво виявляти спайки трафіку, характерні для IRSF, і блокувати скомпрометовані SIP-транки.

Для розробки порталів самообслуговування, систем управління інцидентами, інтеграційних шарів із державними реєстрами та MNP використовується low-code платформа UnityBase, яка є спільною розробкою компаній Intecracy Group (де InBase є ключовим, але не єдиним розробником). Використовуючи механізми платформи UnityBase — єдину доменну модель (Domain metadata), рольовий (RBAC) та рядковий (RLS) контроль доступу, а також вбудовані механізми аудиту (audit trail) — створюються enterprise-рішення, які відповідають високим вимогам інформаційної безпеки, включаючи стандарти ISO/IEC 27001 та вимоги директиви NIS2.

Матриця сигнальних загроз та технічних засобів протидії

ЗагрозаВектор атакиМетод захисту
Перехоплення трафіку через SS7/DiameterПідміна повідомлень оновлення місця розташування (Update Location)Signaling Firewall з аналізом легітимності джерела (Category 3 STP/DRA rules)
IRSF (International Revenue Share Fraud)Генерація несанкціонованого трафіку на преміум-номери через уразливі SIP-транкиМоніторинг CDR у реальному часі, блокування аномальних спайків трафіку, ліміти на напрямки
Wangiri (зворотні виклики)Масовий генератор коротких викликів (A-number spoofing)Автоматичне виявлення паттернів масового обдзвону, інтеграція з базами неблагонадійних діапазонів

Поширені питання

Як Signaling Firewall відрізняє легітимний роумінговий запит SS7 від атаки зловмисника?

Signaling Firewall використовує аналіз стану сесій (stateful inspection) та правила фільтрації GSMA. Перевіряється контекст: якщо запит на оновлення місця розташування абонента надходить із вузла в одній країні, а за даними попередніх сигнальних повідомлень абонент знаходиться в іншій і не міг фізично переміститися за такий час (velocity check), запит блокується як аномалія.

Чи вирішує перехід на 5G Standalone та протокол HTTP/2 проблему сигнальної безпеки повністю?

Ні. Попри те, що 5G Standalone запроваджує сучасну сервіс-орієнтовану архітектуру з шифруванням на інтерфейсах (SEPP), операторам необхідно підтримувати роумінг із мережами 3G/4G. Вразливості зберігаються на стиках, де міжмережеві шлюзи (IWF) транслюють сигналізацію з legacy-протоколів SS7/Diameter у 5G-ядро.

Які технічні обмеження має впровадження STIR/SHAKEN для захисту від підміни Caller ID у транзитних мережах?

Протоколи STIR/SHAKEN вимагають наскрізної підтримки SIP-сигналізації вздовж усього маршруту. Якщо трафік проходить через legacy-сегменти (наприклад, комутацію TDM або SS7), криптографічні підписи втрачаються. До того ж, стандарт автентифікує лише ідентичність відправника, але не зупиняє генерацію трафіку з реальних, але скомпрометованих акаунтів, як це відбувається при IRSF.

Джерела даних