Internetowe systemy telefoniczne stają się narzędziem oszustów

Cyberprzestępcy znaleźli nową platformę wprowadzającą do swoich oszustw: systemy telefoniczne małych i średnich firm w USA

W ostatnich tygodniach włamali się do dziesiątek systemów telefonicznych w całym kraju, wykorzystując je jako sposób na skontaktowanie się z nieświadomymi klientami bankowymi i nakłonienie ich do ujawnienia numerów kont bankowych i haseł.

Ofiary zazwyczaj bankrutują z mniejszymi instytucjami regionalnymi, które zazwyczaj mają mniej zasobów do wykrywania oszustw. Oszuści włamują się do systemów telefonicznych, a następnie wzywają ofiary, odtwarzając nagrane wiadomości, które informują o błędzie rozliczeniowym lub ostrzegają, że konto bankowe zostało zawieszone z powodu podejrzanej aktywności. Jeśli zmartwiony klient wprowadzi swój numer konta i hasło do bankomatu, źli ludzie wykorzystają te informacje do wykonania fałszywych kart debetowych i opróżnienia kont bankowych ofiary.

[Więcej informacji: Najlepsze pudełka NAS do strumieniowego przesyłania multimediów i kopii zapasowych]

Hakerzy na czołówkach włamywania się do systemów telefonicznych firmy ponad 20 lat temu - praktyka znana jako phreaking - ale ponieważ tradycyjny system telefoniczny został zintegrowany z Internetem, tworzy nowe możliwości oszustw, które dopiero zaczynają być Rozumie się.

Hackowanie VoIP (voice over Internet Protocol) jest "nową granicą w świecie telekomunikacji i cyber [przestępczości]", powiedział Erez Liebermann, asystent amerykańskiego prokuratora okręgowego w New Jersey. "To ciągłe zagrożenie i poważne zagrożenie, którego firmy muszą się martwić."

Ataki na jeden z najpopularniejszych systemów VoIP, zwane Asterisk, są teraz "endemiczne", powiedział John Todd, który pracuje dla produktu. twórca, Digium, jako dyrektor społeczności open source. "To jak kradzież kija baseballowego, by włamać się do samochodu, a pierwszym krokiem jest włamanie się do Asterisk."

Hackowanie gwiazdka zaczęło ewoluować od dość "niskiego poziomu problemu" do znacznie poważniejszego problemu około września 2008 roku, kiedy po raz pierwszy opublikowano łatwe w użyciu narzędzia, powiedział Todd. "Są teraz ludzie, którzy robią filmy i są blogi i podcasty" - powiedział. "Informacje tam są".

Za pomocą tych narzędzi może być dość łatwo włamać się do systemu VoIP, uderzając w serwer przeznaczony do łączenia ruchu z lokalnej sieci biura z dostawcą sieci, takim jak AT & T, który łączy wzywa do reszty świata.

Haker próbuje odgadnąć hasła systemu VoIP, robiąc tysiące domysłów. Podczas gdy program internetowy, taki jak Gmail, będzie blokował odwiedzających po kilku nieudanych próbach podania hasła, systemy VoIP często nie są tak skonfigurowane i często pozwalają każdemu komputerowi łączyć się z nimi. Hakerzy atakują ich, próbując odgadnąć działające rozszerzenia telefonu. Po znalezieniu rozszerzenia uruchamiają oprogramowanie do ataku słownikowego. Jeśli hasło jest łatwe do odgadnięcia, są w sieci i mogą dzwonić za darmo.

Tak właśnie stało się z innowacyjnymi technologiami, które powstały w Wheeling w Zachodniej Wirginii. Został zhackowany na początku października, prawdopodobnie przez rumuńskich cyberprzestępców, którzy korzystali z systemu VoIP do wykonywania telefonów do phishingu do klientów Liberty Bank, małego regionalnego banku z siedzibą w Kalifornii.

"Prześledzili całą masę Adresy IP w Internecie, aby znaleźć serwery [VoIP] ", powiedział Terry Lewis, dyrektor generalny Innovative Technologies.

3 października Lewis zaczął otrzymywać pocztę głosową od klientów Liberty, którzy otrzymali połączenia oszustwa. Sprawdził dzienniki systemu VoIP następnego dnia i odkrył, że hakerzy wykonali około 300 połączeń w ciągu weekendu - nie tyle połączeń, które normalnie by zostały zauważone.

Kiedy system VoIP zostanie zhackowany, przestępcy używają do wykonywania ataków phishingowych w telefonie, czasami nazywanych vishingiem. Ataki typu "zemsty" trwają już od kilku lat, ale w dużej mierze są prowadzone pod kontrolą radaru, ponieważ często są kierowane do mniejszych regionalnych banków, a nie do wysokoprofilowych instytucji krajowych. Oszuści przechodzą z banku do banku co tydzień po zakończeniu kampanii.

Według Liberty Bank, w ostatnich tygodniach uderzono również w inne regionalne instytucje o wymuszone ataki ze strony zhakowanych systemów VoIP.

Liberty nie wskazała innych banków, ale w ostatnich tygodniach, Union Bank i Solvay Bank zgłosiły podobne oszustwa.

Lewis miał szczęście, że nie został trafiony dużymi kosztami telefonicznymi. Zależnie od konfiguracji ich systemów, firmy mogą być pociągnięte do odpowiedzialności za wszelkie opłaty telefoniczne - na przykład opłaty za połączenia międzynarodowe, powstałe w wyniku incydentu.

"Jeśli ktoś zacznie nadużywać swojego systemu telefonicznego, jesteś potencjalnie na haczyk za dużo pieniędzy "- mówi Todd z Digium.

Pierwsza wiceprezes Liberty Bank, Jill Hitchman, uważa, że ​​oszuści, którzy atakowali jej bank, prawdopodobnie trafili od 30 do 35 firm i dziennie wykonują od 20 000 do 30 000 połączeń telefonicznych. "Nie sądzę, aby te firmy zdały sobie sprawę, że prawdopodobnie będą pobierać opłaty", powiedział Hitchman. "Im większy problem, w jaki sposób są dostępne te systemy telefoniczne i dlaczego nie możemy tego powstrzymać?"

Tylko kilku libertyńskich klientów padło ofiarą oszustwa, powiedział Hitchman, ale atakujący wiedzieli, co robią. Najpierw zapisali się na konta AOL, aby sprawdzić, czy numery kart zadziałały. Ponieważ AOL oferuje bezpłatne okres próbny, opłaty te nie pojawiają się przez wiele miesięcy. W tym czasie oszuści umieścili informacje na fałszywych kartach bankomatowych i opróżnili konta bankowe.

Firmy mogą zapobiec wielu tym atakom, zmieniając port, którego używają do połączeń SIP (Session Initiation Protocol) w swoich systemach VoIP, blokując połączenia po pewnej liczbie awarii i po prostu używając lepszych haseł w swoich systemach głosowych, mówią eksperci bezpieczeństwa.

Problem polega na tym, że dla większości małych i średnich firm bezpieczeństwo nie jest priorytetem. "Ludzie bardziej dbają o to, czy ich połączenia konferencyjne będą miały przyzwoitą jakość telefonu" - powiedział Rodney Thayer, dyrektor ds. Technologii w firmie ochroniarskiej VoIP Secorix.

Oni nie myślą o tym, że ich systemy VoIP są podatne na ataki internetowe. jak serwery internetowe lub e-mailowe, i to jest błąd, powiedział Thayer. "Myślą o tym jako o innym systemie, a nie" - powiedział. "To wszystko to samo, wszystkie dane przechodzą przez sieć."