Internetski telefonski sustavi postaju alati za prevare

Posljednjih tjedana srušili su desetke telefonskih sustava diljem zemlje, koristeći ih kao način da se obratite bezazlenim bankovnim klijentima i izigrati ih u otkrivanje njihovih bankovnih računa i lozinki.

Žrtve obično rade s manjim regionalnim institucijama, koje obično imaju manje sredstava za otkrivanje prijevara. Prevaranti se upuštaju u telefonske sustave, a zatim nazivaju žrtvama, igrajući unaprijed zapisane poruke koje kažu da je došlo do pogreške naplate ili ih upozori da je bankovni račun obustavljen zbog sumnjivih aktivnosti. Ako zabrinuti korisnik unese broj svog računa i bankovnu lozinku, loši momci koriste te informacije kako bi napravili lažne debitne kartice i ispraznili bankovne račune svojih žrtava.

[Više čitanje: Najbolji NAS kutije za streaming i backup medija]

Hakeri napravio naslove za razbijanje u sustave telefonskih tvrtki prije više od 20 godina - praksu koja je poznata kao freaking - ali kao što je tradicionalni telefonski sustav postao integriran s internetom, stvara nove mogućnosti za prijevare koje tek počinju biti razumijevanje. "" Sjeckanje "VoIP (Voice over Internet Protocol)" je nova granica u crossover svijetu telekomunikacija i cyber kriminala ", rekao je Erez Liebermann, asistent američkog odvjetnika za okrug New Jersey. "To je stalna prijetnja i ozbiljna prijetnja koju tvrtke moraju biti zabrinute."

Napadi na jedan od najpopularnijih VoIP sustava, nazvani Asterisk, sada su "endemični", rekao je John Todd, koji radi za proizvod kreator, Digium, kao redatelj zajednice otvorenog izvora. "To je kao ukrasti bejzbolsku šišmiš da se probije u automobil. Prvi korak je upadanje u Asterisk."

Asteriskova hakiranja počela se razvijati s relativno "niskog nivoa" u ozbiljniji problem oko rujna 2008., kada su prvi alati za lako korištenje bili objavljeni, rekao je Todd. "Sada postoje ljudi koji vide videozapise i postoje blogovi i podcasti", rekao je. "Informacije su tamo vani."

Pomoću ovih alata može biti prilično lako hakirati VoIP sustav tako što će udariti poslužitelj dizajniran za povezivanje prometa s uredske lokalne mreže na mrežnog pružatelja usluga kao što je AT & T, koji povezuje poziva na ostatak svijeta.

Haker pokušava pogoditi lozinke VoIP sustava, stvarajući tisuće nagađanja. Dok internetski program kao što je Gmail blokira posjetitelje nakon nekoliko neuspjelih lozinki, VoIP sustavi često nisu konfigurirani na ovaj način i često će nekom računalu povezati s njima. Tako ih hakeri otjeraju, pokušavajući pogoditi radne telefonske ekstenzije. Nakon što pronađu produžetak, pokreću softver softvera za rječnik. Ako je lozinka lako pogoditi, oni su u mreži i mogu se besplatno nazivati. To se dogodilo s Inovativnim tehnologijama, sa sjedištem u Wheelingu, Zapadna Virginija. To je bio sjeckan početkom listopada, očigledno od strane rumunjskih cyber kriminalaca koji su svojim VoIP sustavom koristili telefonske phishing pozive korisnicima Liberty banke, male regionalne banke sa uredima u Kaliforniji. "Pregledali su cijelu hrpu IP adrese na Internetu kako bi pronašli [VoIP] poslužitelje ", rekao je Terry Lewis, predsjednik Uprave za inovativne tehnologije.

Dana 3. listopada, Lewis je počeo dobivati ​​glasovnu poštu od Liberty kupaca koji su primili pozive prijevara. Slijedeći dan provjeravao je svoj VoIP sustav i utvrdio da su hakeri tijekom vikenda odradili oko 300 poziva - ne toliko mnogo poziva koje bi inače normalno primijetili.

Nakon što je VoIP sustav hakiran, kriminalci koriste da izvodi napade phishing napada na telefon, koje se ponekad nazivaju vishing. Vishing napadi već nekoliko godina, ali su uglavnom letjeli pod radarom, jer često ciljaju manje regionalne banke, a ne nacionalne institucije visokog profila. Zahvaljitelji se kreću od banke do banke svaki tjedan nakon završetka kampanja.

Prema Liberty banci, druge regionalne institucije također su pogođene napadima s hakiranim VoIP sustavima u posljednjih nekoliko tjedana.

Liberty nije imenovala druge uključene banke, ali posljednjih tjedana Unija državna banka i Solvay banka prijavili su slične prijevare Lewis je imao sreće da nije pogođen velikim telefonskim troškovima. Ovisno o tome kako su njihovi sustavi konfigurirani, tvrtke se mogu smatrati odgovornima za sve telefonske troškove - npr. Troškove međunarodnog poziva - koji proizlaze iz incidenta.

"Ako netko počinje zloupotrijebiti vaš telefonski sustav, potencijalno ste na kuka za puno novaca ", rekao je Digium's Todd.

Prvi potpredsjednik Liberty Bank Jill Hitchman vjeruje da su scammere koji su ciljali njezinu banku vjerojatno pogodili između 30 i 35 tvrtki, a između 20.000 i 30.000 telefonskih poziva dnevno. "Mislim da te tvrtke ne shvaćaju da će vjerojatno dobiti optužbe", rekao je Hitchman. "Veći problem je kako se pristupaju tim telefonskim sustavima i zašto to ne možemo zaustaviti?"

Samo je nekoliko korisnika Libertyja pala zbog muljaža, rekao je Hitchman, ali napadači su znali što rade. Najprije će se prijaviti za AOL račune, kako bi testirali da su brojevi kartica radili. Budući da AOL nudi besplatna probna članstva, te se naknade ne prikazuju mjesecima. Trgovci su mogli spriječiti mnoge od tih napada mijenjanjem priključka koji koriste za Session Initiation Protocol (SIP) veze na svojim VoIP sustavima, blokirajući veze nakon određenog broja kvarova i jednostavnim korištenjem boljih lozinki na svojim glasovnim sustavima, tvrde sigurnosni stručnjaci.

Problem je u tome što za većinu malih i srednjih poduzeća problem nije samo prioritet. "Ljudi se brinu o tome hoće li njihove konferencijske pozive imati pristojnu kvalitetu telefona", rekao je Rodney Thayer, glavni tehnološki direktor tvrtke VoIP Secorix.

Oni ne misle o svojim VoIP sustavima kao ranjivim na internetske napade poput poslužitelja za internet ili e-poštu, a to je pogreška, rekao je Thayer. "Razmišljaju o tome kao drugačiji sustav, a to nije", rekao je. "Sve su to isto, sve su to podaci koji prelaze mrežu."