Sistemele de telefonie pe Internet devin instrumentul Fraudster

Criminalii cibernetici au găsit un nou loc de lansare pentru escrocherii lor: sistemele de telefonie ale companiilor mici și mijlocii din SUA

În ultimele săptămâni, au fost hackeri în zeci de sisteme telefonice în toată țara, folosindu-le ca o modalitate de a contacta clienții băncilor care nu sunt bănuiți și de a le împiedica să le divulge numerele și parolele contului bancar.

Victimele tipic bancă cu instituții regionale mai mici, care de obicei dispun de mai puține resurse pentru a detecta escrocherii. Înșelătorii se hărțuiesc în sistemele de telefonie și apoi îi cheamă pe victime, jucând mesaje preînregistrate care afirmă că a existat o eroare de facturare sau le-au avertizat că contul bancar a fost suspendat din cauza unei activități suspecte. Dacă clientul îngrijorat introduce numărul de cont și bancomatul ATM, băieții răi folosesc aceste informații pentru a face carduri de debit false și a goli conturile bancare ale victimei. a lansat titluri pentru a se rupe în sistemele companiei telefonice cu mai mult de 20 de ani în urmă - o practică cunoscută sub numele de phreaking - dar, întrucât sistemul tradițional de telefonie a devenit integrat cu Internetul, se creează noi oportunități de fraudă care abia încep să fie

Hacking-ul VoIP (Voice over Internet Protocol) este "o nouă frontieră în lumea interconfesională a criminalității telecom și cyber", a declarat Erez Liebermann, avocat adjunct pentru districtul New Jersey. "Este o amenințare permanentă și o amenințare serioasă pe care companiile trebuie să fie îngrijorate".

Atacurile asupra unuia dintre cele mai populare sisteme VoIP, numite Asterisk, sunt acum "endemice", a declarat John Todd, care lucrează pentru produsul creator, Digium, ca director al comunității open source. "Este ca și cum a fura o lilieci de baseball pentru a rupe într-o mașină. Primul pas este să pătrundem în Asterisk."

Hackingul Asterisk a început să evolueze dintr-o problemă destul de scăzută într-o problemă mult mai gravă în jurul lui septembrie 2008, când au fost publicate pentru prima oară instrumentele ușor de utilizat, a spus Todd. "Acum există oameni care fac videoclipuri și există bloguri și podcast-uri", a spus el. "Cu aceste instrumente, poate fi destul de ușor să hack un sistem VoIP lovind serverul proiectat pentru a conecta traficul de la rețeaua locală a biroului la un furnizor de rețea, cum ar fi AT & T, care conectează apeluri către restul lumii.

Hacker-ul încearcă să ghicească parolele sistemului VoIP, făcând mii de presupuneri. În timp ce un program de Internet, cum ar fi Gmail, va bloca vizitatorii după o mână de eșecuri de parolă eșuate, sistemele VoIP nu sunt adesea configurate în acest mod și adesea permit oricărui computer să se conecteze la ele. Așa că hackerii se opresc la ei, încercând să ghicească extinderea telefonului. Odată ce găsesc o extensie, rulează software-ul de atac al dicționarului. Dacă parola este ușor de ghicit, ei se află în rețea și pot telefona gratuit.

Asta sa întâmplat cu tehnologiile Innovative, cu sediul în Wheeling, Virginia de Vest. A fost atacată la începutul lunii octombrie, aparent de infractorii cibernetici din România care și-au folosit sistemul VoIP pentru a face apeluri telefonice prin phishing către clienții Liberty Bank, o mică bancă regională cu birouri în California. IP pe internet pentru a găsi serverele VoIP, a declarat Terry Lewis, CEO al Technologies Innovative. La 3 octombrie, Lewis a început să primească mesagerie vocală de la clienții Liberty care au primit apelurile înșelătoare. El a verificat jurnalele sistemului VoIP a doua zi și a constatat că hackerii au făcut aproximativ 300 de apeluri în weekend - nu atât de multe apeluri pe care le-ar fi observat în mod normal.

Odată ce sistemul VoIP este hacked, criminali folosesc să efectueze atacuri phishing prin telefon, uneori numite vishing. Atacurile de atac au fost în jur de câțiva ani, dar au zburat în mare parte sub radar, pentru că deseori se adresează mai degrabă băncilor regionale mai mici decât instituțiilor naționale de profil. Escrocii se mută din bancă în bancă în fiecare săptămână după ce își termină campaniile.

Potrivit Liberty Bank, alte instituții regionale au fost de asemenea lovite de atacuri de vile de la sistemele VoIP hackate în ultimele săptămâni.

Liberty nu a numit celelalte bănci implicate, însă în ultimele săptămâni, State State Bank și Solvay Bank au raportat escrocherii similare.

Lewis a avut noroc că nu a fost lovit de taxe majore de telefon. În funcție de modul în care sunt configurate sistemele lor, întreprinderile pot fi trase la răspundere pentru orice taxe telefonice - de exemplu, taxele de apel internaționale - care provin din incident.

"Dacă cineva începe să abuzeze de sistemul dvs. de telefon, "

Primul vicepreședinte al Liberty Bank, Jill Hitchman, consideră că escrocii care au vizat banca ei probabil au lovit între 30 și 35 de companii și au efectuat între 20.000 și 30.000 de apeluri telefonice pe zi. "Nu cred că aceste companii își dau seama că probabil vor fi acuzate", a spus Hitchman. "Problema cea mai mare este cum se accesează aceste sisteme de telefonie și de ce nu putem opri acest lucru?"

Doar câțiva clienți Liberty au căzut pentru înșelătorie, a spus Hitchman, dar atacatorii știau ce fac. În primul rând, s-ar înscrie la conturile AOL, pentru a testa că numărul cărților a funcționat. Deoarece AOL oferă participări gratuite pe bază de încercări, aceste taxe nu apar luni de zile. În acel moment, escrocii au pus informațiile despre carduri ATM false și au golit conturile bancare.

Afacerile ar putea împiedica multe dintre aceste atacuri prin schimbarea portului pe care îl folosesc pentru conexiunile SIP (Session Initiation Protocol) pe sistemele lor VoIP, prin blocarea conexiunilor după un anumit număr de defecțiuni și prin simpla utilizare a parolelor mai bune pe sistemele lor de voce, spun experții în securitate.

Problema este că pentru majoritatea întreprinderilor mici și mijlocii, securitatea nu este doar o prioritate. "Oamenii au grijă mai mult dacă apelurile la conferințe vor avea o calitate decentă a telefonului", a declarat Rodney Thayer, directorul departamentului de tehnologie al companiei securizate de securitate VoIP.

Ei nu se gândesc la sistemele VoIP ca fiind vulnerabile la atacurile de Internet doar cum ar fi serverele Web sau de e-mail, și aceasta este o greșeală, a spus Thayer. "Ei se gândesc la asta ca la un sistem diferit, și nu este", a spus el. "Sunt toate aceleași lucruri, toate datele trec printr-o rețea."