Internet-telefonsystemer Bliv svindelværktøj

Cyberkriminelle har fundet en ny launching pad til deres svindel: telefonsystemerne for små og mellemstore virksomheder i hele USA

I de seneste uger har de hacket i snesevis af telefonsystemer over hele landet ved at bruge dem som en måde at kontakte intetanende bankkunder og narre dem til at oplyse deres bankkontonumre og adgangskoder.

Ofrene banker typisk med mindre regionale institutioner, som typisk har færre ressourcer til at opdage svindel. Svindlere hakker i telefonsystemer og derefter kalder ofre, spiller forudindgitte meddelelser, der siger, at der har været en faktureringsfejl eller advarer dem om, at bankkontoen er blevet suspenderet på grund af mistænkelig aktivitet. Hvis den bekymrede kunde indtaster sit kontonummer og ATM-adgangskode, bruger de onde oplysninger disse oplysninger til at lave falske debetkort og tømmer deres offerets bankkonti.

[Yderligere læsning: Bedste NAS-kasser til streaming og backup af medier]

Hackere lavede overskrifter for at bryde ind i telefonselskabssystemer for mere end 20 år siden - en praksis, der var kendt som phreaking - men som det traditionelle telefonsystem er blevet integreret med internettet, skaber det nye muligheder for svig, der bare lige begynder at være forstået.

VoIP (voice over Internet Protocol) hacking er "en ny grænse i crossover verden af ​​telekom og cyber [kriminalitet]", siger Erez Liebermann, assisterende amerikansk advokat for New Jersey. "Det er en løbende trussel og en alvorlig trussel, som virksomhederne skal bekymre sig om."

Angreb på et af de mest populære VoIP-systemer, kaldet Asterisk, er nu "endemiske", siger John Todd, som arbejder for produktets skaber, Digium, som open source-direktør. "Det er som at stjæle en baseball flagermus til at bryde ind i en bil. Det første skridt er at bryde ind i Asterisk."

Asterisk hacking begyndte at udvikle sig fra et forholdsvis lavt niveau problem til et meget mere alvorligt problem omkring september 2008, da det var let at bruge værktøjer, der blev offentliggjort, sagde Todd. "Der er nu folk, der laver videoer på det, og der er blogs og podcasts," sagde han. "Oplysningerne er derude."

Med disse værktøjer kan det være ret nemt at hakke et VoIP-system ved at ramme serveren, der er designet til at forbinde trafik fra kontorets lokalnetværk til en netværksudbyder som AT & T, der forbinder opfordrer til resten af ​​verden.

Hackeren forsøger at gætte VoIP-systemets adgangskoder og gør tusindvis af gæt. Mens et internetprogram som Gmail vil blokere besøgende efter en håndfuld mislykkede adgangskodegættelser, er VoIP-systemer ofte ikke konfigureret på denne måde og vil ofte lade enhver computer oprette forbindelse til dem. Så hackere pound væk på dem, forsøger at gætte arbejder telefon udvidelser. Når de finder en udvidelse, kører de deres ordbog angreb software. Hvis adgangskoden er let at gætte, er de i netværket og kan ringe gratis.

Det er sket med Innovative Technologies, der er baseret i Wheeling, West Virginia. Det blev hacket i begyndelsen af ​​oktober, tilsyneladende af rumænske cyberkriminelle, der brugte sit VoIP-system til at foretage telefonbaserede phishing-opkald til kunder fra Liberty Bank, en lille regionalbank med kontorer i Californien. "De havde scannet en hel masse IP-adresser på internettet for at finde [VoIP] -servere, sagde Terry Lewis, administrerende direktør for innovative teknologier.

Den 3. oktober begyndte Lewis at få voicemail fra Liberty-kunder, der havde modtaget scam-opkald. Han kontrollerede sine VoIP-systemlogs næste dag og fandt ud af, at hackerne havde lavet omkring 300 opkald i weekenden - ikke så mange opkald, at det normalt ville være blevet bemærket.

Når VoIP-systemet er hacket, bruger de kriminelle det til at udføre telefonbaserede phishing-angreb, der undertiden hedder vishing. Vishing angreb har eksisteret i et par år nu, men de har stort set fløjet under radaren, fordi de ofte målretter mindre regionale banker frem for højt profilerede nationale institutioner. Svindlere flytter fra bank til bank hver uge efter afslutningen af ​​deres kampagner.

Ifølge Liberty Bank er andre regionale institutioner også ramt af angreb fra hackede VoIP-systemer i de seneste uger.

Liberty navngivede ikke de andre involverede banker, men i de seneste uger har Union State Bank og Solvay Bank rapporteret lignende svindel.

Lewis var heldig, at han ikke blev ramt af store telefonafgifter. Afhængigt af hvordan deres systemer er konfigureret, kan virksomhederne holdes ansvarlige for eventuelle telefonafgifter - internationale opkaldsgebyrer, for eksempel - der skyldes hændelsen.

"Hvis nogen begynder at misbruge dit telefonsystem, er du muligvis på krog for mange penge, "siger Digium Todd.

Liberty Bank første vicepræsident Jill Hitchman mener, at svindlere, der målrettede sin bank, sandsynligvis ramte mellem 30 og 35 virksomheder og lavede mellem 20.000 og 30.000 telefonopkald pr. dag. "Jeg tror ikke, at disse virksomheder indser, at de sandsynligvis kommer til at få afgifter," sagde Hitchman. "Det største problem er, hvordan får man adgang til disse telefonsystemer, og hvorfor kan vi ikke stoppe det?"

Kun nogle få Liberty-kunder faldt for svindel, sagde Hitchman, men angriberne vidste, hvad de gjorde. Først ville de tilmelde sig AOL-konti for at teste, at kortnumrene fungerede. Fordi AOL tilbyder gratis prøveperiode medlemskaber, disse gebyrer ikke vises i flere måneder. På det tidspunkt har svindlere lagt oplysningerne om falske ATM-kort og tømt bankkontiene.

Virksomheder kunne forhindre mange af disse angreb ved at ændre porten, de bruger til SIP-forbindelser (Session Initiation Protocol) på deres VoIP-systemer, ved at blokere forbindelser efter et vist antal fejl, og ved simpelthen at bruge bedre adgangskoder på deres stemmesystemer, siger sikkerhedseksperter.

Problemet er, at sikkerhed for de fleste små og mellemstore virksomheder ikke er en prioritet. "Folk bryr sig meget mere om, hvorvidt deres konferenceopkald skal have en anstændig telefonkvalitet", siger Rodney Thayer, chefstekniker med VoIP-sikkerhedsselskabet Secorix.

De tænker ikke på deres VoIP-systemer som sårbare over for internetangreb bare som web- eller e-mail-servere, og det er en fejl, sagde Thayer. "De tænker på det som et andet system, og det er det ikke," sagde han. "Det er alle de samme ting, det er alle data, der går over et netværk."