Internett-telefonsystemer Bli svindelens verktøy

Cyberkriminelle har funnet en ny lanseringsplugg for sine svindel: telefonsystemene til små og mellomstore bedrifter over hele USA

De siste ukene har de hacket inn i dusinvis av telefonsystemer over hele landet, og bruker dem som en måte å kontakte intetanende bankkunder og lure dem til å vise sine bankkontonumre og passord.

Ofrene banker vanligvis med mindre regionale institusjoner, som vanligvis har færre ressurser til å oppdage svindel. Svindlere hakker i telefonsystemer og deretter ringe ofre, spiller forhåndsinnskrevne meldinger som sier at det har vært en faktureringsfeil eller advare dem om at bankkontoen er suspendert på grunn av mistenkelig aktivitet. Hvis den bekymrede kunden går inn i kontonummeret og ATM-passordet, bruker de dårlige personene den informasjonen til å gjøre falske debetkort og tømmer deres offers bankkontoer.

[Videre lesing: Best NAS-bokser for media streaming og backup]

Hackere laget overskrifter for å bryte inn telefonselskapssystemer for over 20 år siden - en praksis som var kjent som phreaking - men som det tradisjonelle telefonsystemet har blitt integrert med Internett, skaper det nye muligheter for svindel som bare begynner å bli forstått.

VoIP (voice over Internet Protocol) hacking er "en ny grense i crossover verden av telekom og cyber [kriminalitet]," sa Erez Liebermann, assisterende amerikanske advokat for New Jersey. "Det er en pågående trussel og en alvorlig trussel som selskapene trenger å være bekymret for."

Angrep på et av de mest populære VoIP-systemene, som kalles Asterisk, er nå "endemiske", sa John Todd, som jobber for produktets skaperen, Digium, som åpen kildekode fellesskapsdirektør. "Det er som å stjele en baseballbat for å bryte inn i en bil. Det første skrittet er å bryte inn i Asterisk."

Asterisk hacking begynte å utvikle seg fra et ganske «lavnivåproblem» til et mye mer alvorlig problem rundt september 2008, når brukervennlige verktøy ble først publisert, sa Todd. "Det er nå folk som gjør videoer på det, og det er blogger og podcaster," sa han. "Informasjonen er der ute."

Med disse verktøyene kan det være ganske enkelt å hacke et VoIP-system ved å trykke serveren som er utformet for å koble trafikk fra kontorets lokalnettverk til en nettverksleverandør som AT & T, som forbinder samtaler til resten av verden.

Hackeren prøver å gjette VoIP-systemets passord, og gjør tusenvis av gjetninger. Mens et Internett-program som Gmail vil blokkere besøkende etter en håndfull mislykkede passord gjetninger, er VoIP-systemer ofte ikke konfigurert på denne måten, og vil ofte la noen datamaskiner koble til dem. Så hackere pund vekk på dem, prøver å gjette jobber telefonforlengelser. Når de finner en utvidelse, kjører de deres ordbok angrep programvare. Hvis passordet er lett å gjette, er de i nettverket og kan ringe gratis.

Det er det som skjedde med Innovative Technologies, basert i Wheeling, West Virginia. Det ble hacket i begynnelsen av oktober, tilsynelatende av rumenske cyberkriminelle som brukte sitt VoIP-system for å lage telefonbaserte phishing-samtaler til kunder fra Liberty Bank, en liten regional bank med kontorer i California. "De hadde skannet en hel haug med IP-adresser på Internett for å finne [VoIP] -servere, sier Terry Lewis, administrerende direktør for innovative teknologier.

Den 3. oktober begynte Lewis å få telefonsvarer fra Liberty-kunder som hadde mottatt svindelanrop. Han sjekket sine VoIP-systemlogger neste dag og fant at hackerne hadde gjort om 300 samtaler over helgen - ikke så mange anrop som det normalt ville ha blitt lagt merke til.

Når VoIP-systemet er hacket, bruker de kriminelle det å utføre telefonbaserte phishing-angrep, noen ganger kalt vishing. Vishing-angrep har eksistert i noen år nå, men de har stort sett fløyet under radaren, fordi de ofte retter seg mot mindre regionale banker enn høyprofilerte nasjonale institusjoner. Svindlere flytter fra bank til bank hver uke etter at kampanjene er fullført.

Ifølge Liberty Bank har andre regionale institusjoner også blitt rammet av angrepsangrep fra hackede VoIP-systemer de siste ukene.

Liberty nevnte ikke de andre involverte bankene, men i de siste ukene har Union State Bank og Solvay Bank rapportert lignende svindel.

Lewis var heldig at han ikke ble rammet av store telefonavgifter. Avhengig av hvordan systemene deres er konfigurert, kan virksomheter holdes ansvarlige for eventuelle telefonavgifter - internasjonale anropsgebyrer, for eksempel - som oppstår fra hendelsen.

"Hvis noen begynner å misbruke telefonsystemet, er du potensielt på krev for mye penger, sier Digium's Todd.

Liberty Banks første direktør, Jill Hitchman, mener at svindlere som målrettet banken hennes, trolig slo mellom 30 og 35 bedrifter og gjorde mellom 20 000 og 30 000 telefonsamtaler per dag. "Jeg tror ikke disse selskapene innser at de sannsynligvis kommer til å få kostnader," sa Hitchman. «Det største problemet er hvordan blir disse telefonsystemene nå, og hvorfor kan vi ikke stoppe det?»

Bare noen få Liberty-kunder falt for svindel, sa Hitchman, men angriperne visste hva de gjorde. Først ville de registrere seg for AOL-kontoer for å teste at kortnummerene fungerte. Fordi AOL tilbyr gratis prøveperiode medlemskap, disse kostnadene ikke vises i måneder. På den tiden har svindlere lagt informasjonen på falske ATM-kort og tømt bankkontiene.

Bedrifter kan forhindre mange av disse angrepene ved å endre porten de bruker til SIP-tilkoblinger (Session Initiation Protocol) på deres VoIP-systemer, ved å blokkere tilkoblinger etter et visst antall feil, og ved å bare bruke bedre passord på deres stemmeanlegg, sier sikkerhetseksperter.

Problemet er at sikkerhet for de fleste små og mellomstore bedrifter ikke er en prioritet. "Folk bryr seg mye om hvorvidt deres konferansesamtaler skal ha anstendig telefonkvalitet, sier Rodney Thayer, sjefsteknologsjef hos VoIP-sikkerhetsselskapet Secorix.

De tenker ikke på deres VoIP-systemer som sårbare for nettangrep bare som web- eller e-postservere, og det er en feil, sa Thayer. "De tenker på det som et annet system, og det er det ikke," sa han. "Det er alle de samme sakene, det er all data som går over et nettverk."