Телеком 6 хв читання

Захист телеком-мереж від сигнального шахрайства: архітектура безпеки SS7, Diameter та SIP

Аналіз вразливостей сигнальних протоколів та методи побудови архітектурного захисту телекомунікаційних мереж від шахрайства.

Сучасний телекомунікаційний ландшафт переживає фундаментальний парадокс. З одного боку, підприємства активно розгортають інтелектуальні контакт-центри, автоматизовані системи обслуговування на базі штучного інтелекту (Voice AI) та складні B2B2C-сервіси. З іншого — ця інноваційна надбудова функціонує поверх сигнальної інфраструктури, розробленої десятиліття тому без урахування жорстких вимог кібербезпеки. Як результат, застаріле сигнальне ядро перетворилося з класичного технічного боргу на пряму фінансову загрозу.

За даними звіту CFCA Global Fraud Loss Survey 2025, глобальні втрати від телеком-шахрайства сягнули 41.82 мільярда доларів, що суттєво перевищує показник у 38.95 мільярда у 2023 році. Лише шахрайство з підписками (Subscription fraud) генерує близько 5.31 мільярда доларів збитків щорічно, а міжнародне шахрайство з розподілом доходів (IRSF) — 6.23 мільярда доларів. Ситуацію загострює те, що зловмисники дедалі частіше автоматизують експлуатацію системних уразливостей сигналізації для обходу сучасних методів автентифікації.

Legacy-ядро як фінансова діра: чому старі протоколи загрожують новим бюджетам

Багато організацій помилково вважають, що захист комунікаційного периметра обмежується встановленням міжмережевого екрана або підключенням базового антифрод-модуля від локального провайдера. Проте корінь проблеми лежить набагато глибше — в архітектурі сигнальних протоколів SS7, Diameter та незахищених реалізаціях SIP.

Аналіз агентства ENISA (Threat Landscape 2025) підтверджує, що експлуатація застарілих сигнальних протоколів залишається активним вектором атак на мобільні мережі. Звіт зазначає, що саме на цифрову інфраструктуру та сервіси припало приблизно 27.7% від усіх зафіксованих витоків даних. Коли корпоративні системи покладаються на мобільні мережі для надсилання одноразових паролів (OTP) або голосової верифікації транзакцій, вони автоматично успадковують критичні вразливості сигнального рівня.

Анатомія сигнальних загроз: як SS7, Diameter та незахищений SIP стають векторами атак

Для усвідомлення масштабів загрози варто розглянути технічну природу вразливостей основних сигнальних стеків:

  • SS7 (Signaling System No. 7): Протокол створювався в епоху довірених державних операторів зв'язку, тому в ньому відсутня взаємна криптографічна автентифікація вузлів. Суб'єкт, який отримав доступ до сигнального порту, може відправляти MAP-запити (Mobile Application Part). Це відкриває шлях до перехоплення SMS-повідомлень, трекінгу геопозиції абонентів та перенаправлення викликів.
  • Diameter: Хоча цей протокол, що прийшов на зміну SS7 у мережах 4G/LTE, підтримує IP-безпеку (IPsec), на практиці стикування між операторами часто налаштовуються з порушеннями або проходять через транзитні хаби-посередники. Це дозволяє здійснювати атаки на відмову в обслуговуванні (DoS) або несанкціоновано отримувати профілі користувачів.
  • Незахищений SIP (Session Initiation Protocol): Основний протокол сучасної VoIP-телефонії. За відсутності шифрування сигналізації (SIPS) та медіатрафіку (SRTP) зловмисники можуть не лише прослуховувати розмови, але й здійснювати ін'єкції сигнальних повідомлень для генерації фейкового трафіку або підміни номерів.

Реальні сценарії компрометації бізнес-сервісів

  1. Перехоплення SMS для обходу MFA: Зловмисники використовують уразливості SS7/Diameter для маніпуляції запитами (наприклад, Update Location), перенаправляючи сигнальний трафік на підконтрольний комутатор. У результаті SMS-коди підтвердження (OTP) надходять атакуючому, призводячи до захоплення облікових записів (Account Takeover).
  2. Маніпуляція AI-контакт-центрами через Caller ID Spoofing: Багато підприємств використовують голосову біометрію або розпізнавання номера для автентифікації. Зловмисники підміняють ідентифікатор викликаючого абонента (CLI) у SIP-запитах INVITE. AI-агент, орієнтуючись на підроблений CLI, надає доступ до конфіденційних даних клієнта.
  3. Обхід систем реєстрації (Provisioning): Через відсутність суворої верифікації ідентичності в протоколах автоматизовані системи операторів можуть приймати підроблені запити на активацію. Це призводить до масштабного шахрайства з підписками, рахунки за які виставляються легітимним замовникам.

Архітектурний щит: впровадження STIR/SHAKEN та криптографічної верифікації SIP Identity

Для боротьби з підміною номерів (Caller ID Spoofing) на рівні IP-мереж індустрія впроваджує комплекс стандартів STIR/SHAKEN. Хоча він не є панацеєю від усіх видів фроду, стандарт створює необхідний криптографічний фундамент для довіри до голосових викликів.

Як визначено в технічному стандарті IETF RFC 8224, основою механізму є заголовок SIP Identity. Згідно з вимогами Федеральної комісії зі зв'язку США (FCC), процес включає два ключові компоненти:

  • Автентифікація та верифікація Caller ID: Оператор-ініціатор виклику підтверджує право абонента на номер і додає до повідомлення SIP INVITE цифровий підпис (токен PASSporT). Приймаюча сторона верифікує цей підпис за допомогою публічного ключа.
  • Управління сертифікатами (Certificate Governance): Інфраструктура відкритих ключів гарантує, що сертифікати для підписання викликів видаються виключно авторизованим провайдерам.

Важливий нюанс: STIR/SHAKEN зберігає ефективність лише в наскрізних SIP-мережах. Якщо виклик проходить через застарілі транзити (TDM/SS7), цифровий підпис може бути втрачено. Що стосується мобільних мереж, перехід на архітектуру 5G Standalone (SA) покращує ситуацію завдяки використанню HTTP/2 та обов'язковому шифруванню інтерфейсів через SEPP (Security Edge Protection Proxy). Проте архітектура 5G не усуває вразливості автоматично — її надійність критично залежить від правильного конфігурування правил безпеки на межі мереж.

Практичний підхід до захисту телеком-периметра

Уникнення сигнальних загроз вимагає переходу від точкового «латання» інфраструктури до системного архітектурного підходу. Для захисту корпоративних комунікацій та операторського транзиту технологічний альянс Intecracy Group пропонує інтеграцію спеціалізованих телеком-рішень із надійним прикладним шаром управління.

Для реалізації захищеного голосового роутингу використовується операторська VoIP-платформа DooxSwitch. Як softswitch із вбудованим білінгом реального часу, платформа підтримує механізми маршрутизації за найменшою вартістю (LCR) та виявлення аномалій сесій безпосередньо під час встановлення з'єднання. Її архітектура дозволяє:

  • Контролювати та верифікувати SIP-заголовки для зниження ризиків підміни номерів;
  • Миттєво блокувати спроби несанкціонованої генерації трафіку на платні напрямки (захист від IRSF);
  • Ізолювати внутрішню корпоративну телефонію від зовнішніх загроз через інтеграцію з прикордонними контролерами сесій (SBC).

Для побудови високонадійних адміністративних інтерфейсів (OSS/BSS), систем моніторингу, порталів та інтеграційних шлюзів може застосовуватися low-code платформа UnityBase. UnityBase є спільною розробкою компаній Intecracy Group (InBase виступає ключовим, але не єдиним розробником). Використовуючи єдину модель метаданих (Domain metadata), платформа дозволяє швидко створювати enterprise-застосунки з жорсткими вимогами до аудиту та безпеки.

Платформа UnityBase забезпечує суворий контроль доступу на рівні рядків та атрибутів (RLS/ACL), детальний аудит дій користувачів (audit trail) та можливість розгортання on-premises для повного контролю над даними. Для телеком-проєктів із підвищеними вимогами до безпеки або високих навантажень офіційна документація платформи рекомендує застосовувати комерційні редакції Enterprise (EE) або Defence (DE), які підтримують розширені інструменти криптографії та інтеграцію із зовнішніми системами безпеки.

Вектор атакиПротоколНаслідки для бізнесуАрхітектурне рішення
Caller ID SpoofingSIP (VoIP)Обхід голосового 2FA, соціальна інженеріяВпровадження RFC 8224 (SIP Identity header) та STIR/SHAKEN
Перехоплення SMS/трафікуSS7 / DiameterКомпрометація OTP-паролів, витік даних клієнтівВстановлення сигнальних фаєрволів (SS7/Diameter Firewall), перехід на 5G Standalone Core
Interconnect Fraud (IRSF)SIP / ISUPШтучна генерація трафіку на платні номери, мільйонні збиткиІнтеграція білінгу в реальному часі з LCR (Least Cost Routing) та лімітами сесій

Безпека сучасних телекомунікаційних мереж — це не питання встановлення окремого софту, а архітектурна стійкість ядра. Лише поєднання надійної ідентифікації (STIR/SHAKEN), захищеної маршрутизації та суворого контролю доступу на рівні інтеграційних платформ дозволить підприємствам безпечно масштабувати AI-сервіси без ризику багатомільйонних фінансових втрат.

Поширені питання

Як саме впровадження STIR/SHAKEN захищає корпоративний контакт-центр від фроду?

STIR/SHAKEN додає криптографічний підпис (токен Identity згідно з RFC 8224) до SIP-запиту на етапі ініціації виклику. Контакт-центр, приймаючи дзвінок, верифікує цей підпис через інфраструктуру відкритих ключів (PKI). Це дає змогу точно визначити, чи виклик ініційовано справжнім власником номера, чи це спроба підміни Caller ID (Spoofing) зловмисником.

Чи вирішує перехід на 5G Standalone усі проблеми безпеки сигнальних протоколів SS7 та Diameter?

Ні. Хоча 5G Standalone замінює застарілі сигнальні протоколи на HTTP/2 та запроваджує захищені шлюзи SEPP (Security Edge Protection Proxy) для міжмережевого обміну, вразливості можуть залишатися. Якщо мережа взаємодіє з legacy-сегментами (2G/3G/4G) або якщо політики фільтрації на SEPP налаштовані некоректно, інфраструктура залишається відкритою до атак.

Які мінімальні вимоги до модернізації SIP-ядра для безпечної інтеграції AI-асистентів?

Мінімальні вимоги охоплюють обов'язкове використання шифрування сигналізації (TLS/SIPS) та медіапотоків (SRTP), впровадження прикордонних контролерів сесій (SBC) для фільтрації трафіку, інтеграцію з системами верифікації SIP Identity та використання рішень із білінгом реального часу (наприклад, DooxSwitch) для автоматичного виявлення і блокування аномальних сесій.

Джерела даних