İNternet Telefon Sistemleri ol sahtekar en Aracı

Cybercriminals, dolandırıcılığı için yeni bir fırlatma yastığı buldu: ABD çapında küçük ve orta ölçekli işletmelerin telefon sistemleri

Son haftalarda, ülke genelinde düzinelerce telefon sistemine girdi. şüpheli banka müşterileri ile iletişim kurmanın ve banka hesap numaralarını ve şifrelerini ifşa etmeleri için onları kandırmanın bir yolu.

Kurbanlar tipik olarak, aldatmacaları tespit etmek için daha az kaynağa sahip olan daha küçük bölgesel kurumlarla anlaşıyorlar. Dolandırıcılar, telefon sistemlerine girip kurbanları arayarak, faturalandırma hatası olduğunu söyleyen önceden kaydedilmiş mesajları çalıyor veya banka hesabının şüpheli etkinlik nedeniyle askıya alındığını bildiriyor. Endişeli müşteri hesap numarasını ve ATM şifresini girerse, kötü adamlar bu bilgileri sahte banka kartları yapmak ve kurbanın banka hesaplarını boşaltmak için kullanırlar.

[Daha fazla okuma: Medya akışı ve yedekleme için en iyi NAS kutuları]

Hackerlar 20 yıldan uzun bir süre önce telefon şirketi sistemlerini kırmak için manşetlere attı - budalalık olarak bilinen bir uygulamadır - ancak geleneksel telefon sistemi İnternet ile bütünleştikçe, henüz yeni başlamış olan sahtekarlık için yeni fırsatlar yaratıyor. Anlaşıldı

VoIP (İnternet Protokolü Üzerinden Seslendirme) bilgisayar korsanlığı, New Jersey ilçesinde görevli ABD avukat yardımcısı Erez Liebermann, "Telekom ve siber suçun dünyasında yeni bir sınır" diyor. "Şirketlerin endişe duyması gereken sürekli bir tehdit ve ciddi bir tehdit."

Asterisk adı verilen en popüler VoIP sistemlerinden birine yapılan saldırılar artık "endemik", diyor. içerik oluşturucu, Digium, açık kaynaklı topluluk yöneticisi olarak. "Bir arabaya çarpmak için bir beysbol sopası çalmak gibi. İlk adım Yıldız'a girmektir."

Asterisk hack, 2008'in Eylül ayının başlarında, "düşük seviyeli bir problem" den çok daha ciddi bir soruna dönüşmeye başladı. kolay kullanımlı araçlar ilk yayınlandığında, Todd dedi. "Artık video yapan insanlar var ve bloglar ve podcast'ler var" dedi. "Bilgi orada."

Bu araçlarla, ofisin yerel alan ağından gelen trafiği AT & T gibi bir ağ sağlayıcısına bağlamak için tasarlanmış sunucuyu vurarak bir VoIP sistemini kesmek oldukça kolay olabilir. Dünyanın geri kalanına çağrılar.

Hacker, VoIP sisteminin şifrelerini tahmin etmeye çalışır ve binlerce tahmin yapar. Gmail gibi bir İnternet programı, bir avuç başarısız şifre tahmininden sonra ziyaretçileri engelleyse de, VoIP sistemleri genellikle bu şekilde yapılandırılmaz ve çoğu zaman bilgisayarların bunlarla bağlantı kurmasına izin verilir. Bu yüzden bilgisayar korsanları, çalışan telefon uzantılarını tahmin etmeye çalışıyorlar. Bir uzantı bulduklarında, sözlük saldırı yazılımlarını çalıştırırlar. Şifrenin tahmin edilmesi kolaysa, ağdadırlar ve ücretsiz telefon edebilirler

Wheeling, Batı Virginia'da bulunan Innovative Technologies'e böyle bir şey oldu. Anlaşılan Liberty Bank, California ofisleri ile küçük bir bölgesel banka müşterilerine telefon tabanlı dolandırıcılık çağrı yapmak için kendi VoIP sistemi kullanılan Romen siber suçlular tarafından, Ekim başında hacklendi.

"Onlar bir sürü taranmış vardı [VoIP] sunucularını bulmak için internetteki IP adresleri, "dedi. Yenilikçi Teknolojiler CEO'su Terry Lewis.

3 Ekim'de Lewis, aldatmaca çağrılarını alan Liberty müşterilerinin sesli mesajlarını almaya başladı. VoIP sistem kayıtlarını ertesi gün kontrol etti ve hackerların haftasonu boyunca yaklaşık 300 çağrı yaptığını gördü - pek fazla çağrı bile normalde farkedilemezdi.

VoIP sistemi saldırıya uğradığında, suçlular kullanıldı Telefon tabanlı kimlik avı saldırıları gerçekleştirmek için bazen dile getirme adı verilir. Saldırı saldırıları birkaç yıldan beri sürmektedir, ancak büyük oranda radar altında uçmaktadırlar, çünkü bunlar çoğunlukla yüksek profilli ulusal kurumlardan ziyade daha küçük bölgesel bankaları hedef almaktadırlar. Dolandırıcılar, kampanyalarını tamamladıktan sonra her hafta bankadan bankaya geçerler.

Liberty Bank'a göre, diğer bölgesel kurumlar da son haftalarda saldırıya uğramış VoIP sistemlerinden saldırılarla vuruldu.

Özgürlük, diğer bankaları dahil etmedi, ancak son haftalarda, Union State Bank ve Solvay Bank benzer dolandırıcılığı bildirdiler.

Lewis, büyük telefon ücretleri ile vurulmadığı için şanslıydı. Sistemlerinin nasıl yapılandırıldığına bağlı olarak, işletmeler telefon ücretlerinden (örneğin, uluslararası arama ücretleri) sorumlu tutulabilir.

"Birisi telefon sisteminizi kötüye kullanmaya başlarsa, potansiyel olarak Çok para kazanmak için, "Digium'un Toddu dedi.

Liberty Bank Birinci Başkan Yardımcısı Jill Hitchman, bankasını hedef alan dolandırıcıların muhtemelen 30 ila 35 iş arasında olduğunu ve günde 20.000 ila 30.000 telefon görüşmesi yaptığını düşünüyor. Hitchman, "Bu şirketlerin muhtemelen ücret alacağını düşündüklerini sanmıyorum." Dedi. Hitchman, "Daha büyük sorun şu, bu telefon sistemlerine nasıl erişiliyor ve neden bunu durduramıyoruz?"

Hitchman, sadece birkaç Liberty müşterisinin düştüğünü söyledi, ancak saldırganlar yaptıkları şeyi biliyorlardı. İlk olarak, AOL hesapları için, kart numaralarının çalışıp çalışmadığını test etmek için kaydolurlardı. AOL ücretsiz deneme üyelikleri sunduğundan, bu ücretler aylarca gösterilmez. Bu zaman zarfında, dolandırıcılar sahte ATM kartlarına bilgi koydu ve banka hesaplarını boşalttı.

İşyerleri, VoIP sistemlerinde Oturum Başlatma Protokolü (SIP) bağlantıları için kullandıkları limanı değiştirerek bu saldırıların çoğunu engelleyebilirler. belirli sayıda arızadan sonra bağlantıları engelleyerek ve ses sistemlerinde daha iyi parolalar kullanarak, güvenlik uzmanları şöyle diyor:

Sorun şu ki, küçük ve orta ölçekli işletmelerin çoğu için güvenlik bir öncelik değil. VoIP güvenlik şirketi Secorix ile baş teknoloji sorumlusu Rodney Thayer, "İnsanlar konferans görüşmelerinin iyi bir telefon kalitesine sahip olup olmadığına daha çok dikkat ediyorlar.

İnternet saldırılarına karşı savunmasız olarak VoIP sistemlerini düşünmüyorlar." Thayer, Web veya e-posta sunucuları gibi ve bu bir hata olduğunu söyledi. "Bunu farklı bir sistem olarak düşünüyorlar, ve değil" dedi. "Hepsi aynı şeyler, tüm veriler bir ağ üzerinden geçiyor."