גניבת שיחות ממרכזיות, להיכן יש להפנות את האצבע המאשימה? תשובה ברורה: אל הלקוח עצמו!
גניבת שיחות הפכה בשנתיים האחרונות לנגע סורר, שהפך להיות חלק בלתי נפרד מעולם הטלפוניה המקומי, בין אם בתשתיות מסורתיות ובין אם בתשתיות IP.
בהתאם לכמות הפניות, שהתקבלו במשרדנו, אני מעריך, כי הנזק הכולל ללקוחות ולספקים, שנובע בצורה ישירה מגניבת שיחות, עומד במדינת ישראל על סך כולל של כ-20 מיליון ₪ בשנה (אם מכניסים לחישוב את כל ספקי התקשורת בישראל). הערכה הזו מבוססת על מספר המקרים, שחקרנו בשנה האחרונה, גודל הנזק הממוצע לכל המקרים והתפזרות המקרים על פני הספקים השונים.
בכל אחד מהמקרים שנחקרו, חזרה תמיד אותה שאלה: "מי אשם?" או כמו שאומרים בארה"ב: "את מי אני אמור לתבוע?" ובכן, זו שאלה סבוכה למדי. לצערי, אין פה תשובה חד-חד ערכית. בחלק מן המקרים, האשמה הינה של ספק השירות, בחלק אחר ניתן לתלות את האשמה באינטגרטור. אולם, ניתן לציין כבר עכשיו, כי ברוב המכריע של המקרים ניתן לתלות את האשמה בלקוח עצמו.
כדי למקד על הנושא, מובאים להלן 2 מקרים:
"הבן של השכן שלי".
כולנו מכירים את התסמונת הזו, כיוון שכולנו לקינו בה בשלב זה או אחר של חיינו. זו התסמונת, שבה אנו קוראים לבן של השכן שלנו כי יש לנו בעיה במחשב. לכל אחד מאיתנו יש איזה "גאון" מחשבים במשפחה, זה הבן של השכן, הנכד של השכנה מלמטה, או אם יש לנו מזל, אפילו האח שלנו. בכל מצב, זה מישהו, שאנו נותנים בו אמון מלא ותולים בו את תקוותנו.
הלוקים בתסמונת זו ינסו לרוב לבצע את ההתקנה של המרכזיה שלהם בעצמם.בד"כ זה אומר, שהם הורידו מהאינטרנט הפצה זו או אחרת של מרכזיה מבוססת קוד-פתוח, או קניינית עם גרסת חינם מצומצמת. הם התקינו אותה על מחשב או מכונה וירטואלית, בלי להבין את המשמעות של כל אחת מהאפשרויות בתוכנה, כאשר כל אפשרות נראית יותר טובה מהאחרת.
הבעיה עם פריצות, שנובעות מתסמונת זו היא, שמאוד קשה לעלות על הבעיה האמיתית. זאת מאחר, שאנשי מקצוע מצפים לצורת עבודה מסויימת, ומרבית אנשי המקצוע יבצעו את אותה המשימה בצורה יחסית זהה. כאשר איש מקצוע מנתח התקנה של איש מקצוע אחר, ישנם דברים, שלרוב הוא יפסח עליהם בבדיקה ראשונית, כי אלה לא הגיוניים עד כדי מגוכחים.
במקרה המדובר, המערכת הותקנה על ידי "אח של המנכ"ל", שבמקרה מבין ברשתות ומחשבים, שאמר: "תקשיבו לי, אני מתקין את זה בתוך 20 דקות ויאללה לעבודה". בנקודה הזו, נכנסו שני אלמנטים לסיפור שלנו, אלמנט המגניבות ואלמנט הבורות. אחד הדברים המגניבים ביותר, שאפשר לעשות עם מרכזיית IP, הוא לחבר את הטלפון הסלולרי שלכם אליה, ולהוציא ולקבל שיחות מהטלפון הסלולרי, כאילו אתם במשרד. משאת נפשם של הרבה מנהלים ומנכ"לים היא, לשבת בבית או בבית קפה, ושיחשבו שהם בעצם במשרד (בסדר, אולי לא בצורה כל כך דרמטית). אבל, כדי לחבר שלוחה מרוחקת בצורה כזו, יש להביא הרבה אלמנטים בחשבון. כי בגדול, אנו משאירים את המרכזיה שלנו פתוחה לאינטרנט בצורה חופשית: "פרצה קוראת לגנב". עכשיו, המתקין שלנו לא מבין את המשמעות הנסתרת של פתיחת המערכת לכל העולם ומאמין, ששם משתמש וסיסמא לטלפון מספיקים להגנה. המנכ"ל, כמו מרבית המנכ"לים, רוצה משהו מגניב להתגאות בו מול פרלמנט יום השבת שלו. התוצאה: חור במרכזיה בגודל של בית.
תוסיפו לזה חוסר מענה זמין מצד ה"אח", וקיבלתם מתכון יפה לפריצה. הפריצה, שנחקרה על ידינו, שענתה למקרה הנ"ל, הסתכמה בסכום של 185,000 ₪, בתוך פחות משלושה ימים. למרות שספק התקשורת התריע על הנושא תוך כ-3 שעות, לא טרח הלקוח לנעול את הפרצה.
"בזכות הפיצ'רים"
כולנו אוהבים פיצ'רים. לפעמים פיצ'ר זה או אחר הוא זה שמוכר לנו מוצר זה או אחר. לדוגמא, בתור טבח חובב, מערוך סיליקון נשמע לי רעיון מצוין. לכן, קניתי מערוך, שלא בהכרח הייתי צריך. לפעמים, אנו מבקשים להפעיל פיצ'רים במערכת, למרות שאנחנו לא צריכים אותם. זאת, במרבית הפעמים לצורך סיפוק צורך בסיסי להיות מגניבים.
לדוגמא, לחלק ניכר מן המרכזיות יש פיצ'ר DISA, כלומר, יכולת להתקשר פנימה ומשם להתקשר החוצה. כמו כן, למרבית המרכזיות, שיש להן VOICEMAIL, יש גם אפשרות לבצע DIALOUT. לכאורה, שני פיצ'רים מגניבים ושימושיים למדי.
לשני הפיצ'רים האלה יש בעיה. במרבית המערכות, ההגנה על פיצ'רים אלה הינה בינונית (במקרה הטוב) או חסרה לחלוטין (במקרה הרע). לרוב האינטגרטורים ידוע, שיש בעיתיות עם פיצ'רים אלה ולעיתים קרובות לא יזכירו אפשרויות אלה. אבל, במקרים רבים, כאשר לאינטגרטור יש תחרות על הלקוח, הוא ישתמש בפיצ'רים אלה בתור Unique Selling Point, ויטה לא להסביר את הבעיתיות המלאה של שירותים אלה. הלקוח המתלהב יבקש להפעיל שירותים אלה, והרי לכם "פרצה דה-לוקס".
כדי להמחיש עד כמה הדבר חמור, לפני כשנה הייתי באחת מחברות ה-IP Security הגדולות ביותר בעולם. כדי להמחיש את הבעיה, חייגתי מהטלפון הסלולרי שלי אל המרכזיה, ותוך פחות מ-5 דקות הוצאתי שיחת טלפון מארה"ב ממערכת ה-Voicemail של החברה. מנהלי המוצר, שישבו מולי, שמטו את הלסת התחתונה, תוך שהם מגרדים בראשם: "מה בדיוק קרה כאן כרגע?" במקרה שלהם דובר במערכת קניינית, שפזורה בכל הסניפים שלהם בעולם. מיותר לציין, שאחרי התקרית הזו "עפו" שם ראשים.
מי אשם ? שוב אני תולה את האשמה בלקוחות הקצה. הלקוחות מנהלים את המערכת לבד, יש להם אגף שלם, שאחראי על המערכת, ועדיין, פריצה פנימה לא היתה עניין מסובך במיוחד. כמה כסף גנבו להם? אין מידע מדוייק, מאחר שהם מעולם לא התלוננו. אבל ממידע שקיבלתי, לאחר חסימת האפשרות של חיוג החוצה והקשחת סיסמאות ב-Voicemail, הבנתי, שחשבון הטלפון החודשי שלהם פחת.
אחד הקוריוזים, שסובבים בתחום הונאות הטלפוניה בארץ הוא, על מרכזיה השייכת ליחידה צבאית, שממוקמת אי שם בתל-אביב, שבמשך שנים רבות השתמשו בה כדי לבצע שיחות לא חוקיות לחו"ל. הנושא היה ידוע להרבה מאוד גורמים, אך מאחר, שבמקרה זה היחידי ששילם הוא משלם המיסים, אף לא לאחד היה ממש איכפת.
אז מי אשם באמת?
הלקוחות מאוד לא אוהבים לשמוע זאת, אבל, מרבית האשמה תלויה בהם. האינטגרטורים בסה"כ עושים מה שאומרים להם. מדוע אני אומר זאת? כי בעברי עבדתי כאיש אינטגרציה, וכל רצוני היה, שהלקוח יהיה מרוצה ועם פרצוף מחייך (לפעמים זה מאוד קשה, גם כאשר הכל בסדר). הלקוח אוהב לקבל את הכל, לא לקחת אחריות ובמקרים קיצוניים לגלגל את האחריות הלאה. זה סט התנהגות נפיץ, שבו האינטגרטור תמיד עומד בין הפטיש לסדן, ומשמש שק החבטות של שני הצדדים, הלקוח וספק התקשורת.
איך מתמודדים?
בואו נצא מנקודת הנחה ראשונה, שאין מוצר פלא ואין מילת קסם. יש פה עניין של חינוך הלקוח מחד גיסא, ועמידה איתנה של האינטגרטור מול הלקוח מאידך גיסא. אינטגרטור, שיעמוד על כך, שפיצ'רים מסויימים מזיקים יותר ממועילים, וידאג שהלקוח שלו לא יפעיל אותם, רק ירוויח. כשם שלקוח יודע שבלי אנטי-וירוס ופיירוול מצבו יהיה בכי רע, עליו להבין בצורה מלאה את המשמעות של פתיחת פיצ'ר זה או אחר, שימוש לא מבוקר זה או אחר והכי חשוב, עליו להבין את ההשלכות הכלכליות הצרופות. למרבית הלקוחות, פריצה משמעותה: "גניבת מידע או השבתה". יש להסביר, שמדובר בגניבת כסף, פשוטה כמשמעה.
יש להבין, שהגנה בעולם ה-IP אינה מספיקה. יש הבדל מהותי בין היכולות של firewall או e-sbc לבין היכולת לחסום התקפה או גניבה. לדוגמא, כאשר אדם משתמש ב-Asterisk, ההתנהגות הנורמלית שלו היא כ-B2BUA. כלומר, לכל רגל (מבואה) שיחה יש call-id שונה לחלוטין, בניגוד ל-Sip Proxy. במצב זה, למרבית מערכות ה-firewall או e-sbc, אין יכולת לזהות האם שתי שיחות בלתי תלויות הן תוצר אחת של השניה. אלה המצבים, שחוקרי FRAUD מתמודדים איתם והם מאוד לא פשוטים לזיהוי. כלומר, מישהו צריך להסתכל מדי פעם ולומר: "המממ... נראה תקין, יופי...".
תשתמשו ביועץ צד ג', מישהו שלא התקין את המערכת שלכם, שיחווה דעה על התקנת המערכת בצורה בלתי תלויה מהאינטגרטור. שימו לב: יועץ, לא אינטגרטור. אין הגיון להביא אינטגרטור אחד בשביל לחוות דעה על השני. התוצאות תהיינה ברורות עוד לפני הבדיקה. יועצי התקשורת יודעים את עבודתם, ויוכלו לספק חוות דעת טכנית מעמיקה ואובייקטיבית.
קל מאוד להיכנס לשאננות כשהכל עובד. כשהכל עובד, הדבר הקל ביותר הוא לומר: "עובד, אל תיגע". נכון, אל תיגעו, אבל זה לא אומר – אל תסתכלו. מרבית המקרים יתגלו בסריקה מדגמית של המערכת ותוכלו לחסוך לעצמכם הרבה עוגמת נפש בנדון.