Mga Sistema ng Internet ng Telepono Maging Tool ng Fraudster

Nakakita ang mga cybercriminal ng isang bagong launch pad para sa kanilang mga pandaraya: ang mga sistema ng telepono ng mga maliliit at katamtamang mga negosyo sa buong US

Sa mga nakaraang linggo, na-hack ang mga ito sa dose-dosenang mga sistema ng telepono sa buong bansa, gamit ang mga ito bilang isang paraan upang makipag-ugnay sa mga hindi mapagkakatiwalaang mga kostumer ng bangko at linlangin ang mga ito sa paghahayag ng kanilang mga numero at password ng bank account.

Ang mga biktima ay kadalasang namumuhunan sa mga mas maliit na institusyong pang-rehiyon, na kadalasan ay may mas kaunting mga mapagkukunan upang makilala ang mga pandaraya. Ang mga scammer ay nag-hack sa mga sistema ng telepono at pagkatapos ay tumawag sa mga biktima, nagpe-play ng mga prerecorded na mensahe na nagsasabing nagkaroon ng error sa pagsingil o nagbababala sa kanila na nasuspinde ang bank account dahil sa kahina-hinalang aktibidad. Kung ang nag-aalalang kostumer ay pumasok sa kanyang numero ng account at password sa ATM, ang mga masamang tao ay gumagamit ng impormasyong iyon upang gumawa ng pekeng mga debit card at walang laman ang mga bank account ng biktima.

[Karagdagang pagbabasa: Pinakamahusay na mga kahon ng NAS para sa streaming ng media at backup]

Mga Hacker gumawa ng mga headline para sa pagbubukas sa mga sistema ng telepono ng kumpanya higit sa 20 taon na ang nakakaraan - isang kasanayan na kilala bilang phreaking - ngunit bilang tradisyunal na sistema ng telepono ay naging nakapaloob sa Internet, ito ay lumilikha ng mga bagong pagkakataon para sa pandaraya na lamang simula lamang na nauunawaan.

Ang pag-hack ng VoIP (voice over Internet Protocol) ay "isang bagong hangganan sa mundo ng crossover ng telecom at cyber [krimen]," sabi ni Erez Liebermann, assistant US attorney para sa distrito ng New Jersey. "Ito ay isang patuloy na banta at isang seryosong banta na kailangang mag-alala ang mga kumpanya."

Ang pag-atake sa isa sa mga pinakapopular na sistema ng VOIP, na tinatawag na Asterisk, ay ngayon "katutubo," sabi ni John Todd, na gumagana para sa produktong tagalikha, Digium, bilang direktor ng open-source community. "Ito ay tulad ng pagnanakaw ng baseball bat upang pumasok sa isang kotse. Ang unang hakbang ay upang masira ang Asterisk."

Nagsimula ang pag-hack ng Asterisk mula sa isang "mababang antas ng problema" sa isang mas malubhang isyu noong Setyembre ng 2008, kapag ang mga tool na madaling gamitin ay unang inilathala, sinabi ni Todd. "May mga taong gumagawa ng mga video dito at may mga blog at podcast," sabi niya. "Ang impormasyon ay nasa labas."

Gamit ang mga tool na ito, maaari itong maging madali upang i-hack ang isang sistema ng VOIP sa pamamagitan ng pagpindot sa server na dinisenyo upang kumonekta ng trapiko mula sa lokal na network ng opisina ng opisina sa isang network provider tulad ng AT & T, na nag-uugnay sa tawag sa ibang bahagi ng mundo.

Sinisikap ng Hacker na hulaan ang mga password ng system ng VOIP, na gumagawa ng libu-libong mga hula. Habang ang isang programa sa Internet tulad ng Gmail ay hahadlang sa mga bisita pagkatapos ng isang maliit na nabigo sa mga hula ng password, ang mga sistema ng VOIP ay madalas na hindi naka-configure sa ganitong paraan at madalas na ipaalam sa anumang computer na kumonekta sa kanila. Kaya ang mga hacker ay nagpapalayo sa kanila, sinusubukang hulaan ang mga extension ng telepono sa pagtatrabaho. Kapag nakakita sila ng isang extension, pinapatakbo nila ang kanilang dictionary attack software. Kung ang password ay madaling hulaan, ang mga ito ay nasa network at maaaring mag-telepono nang libre.

Iyon ang nangyari sa Inovative Technologies, na nakabase sa Wheeling, West Virginia. Ito ay na-hack sa unang bahagi ng Oktubre, lumilitaw sa pamamagitan ng mga Romanian cyber criminals na gumagamit ng sistema ng VOIP nito upang gumawa ng mga tawag sa phishing na nakabase sa telepono sa mga mamimili ng Liberty Bank, isang maliit na pampook na bangko na may mga opisina sa California.

"Na-scan nila ang isang buong bungkos ng IP address sa Internet upang makahanap ng mga server ng VoIP, "sabi ni Terry Lewis, CEO ng Innovative Technologies.

Noong Oktubre 3, sinimulan ni Lewis ang pagkuha ng voicemail mula sa mga customer ng Liberty na nakatanggap ng mga tawag sa scam. Sinusuri niya ang kanyang sistema ng VOIP na nag-log sa susunod na araw at nalaman na ang mga hacker ay gumawa ng mga 300 na tawag sa paglipas ng katapusan ng linggo - hindi napakaraming mga tawag na karaniwan nang napansin.

Sa sandaling na-hack ang sistema ng VOIP, ginagamit ng mga kriminal ito upang magsagawa ng pag-atake sa phishing na batay sa telepono, kung minsan ay tinatawag na vishing. Ang mga pag-atake sa pag-aalipusta ay naging sa loob ng ilang taon na ngayon, ngunit higit na pinalipad nila sa ilalim ng radar, sapagkat madalas nilang target ang mga maliliit na pampook na bangko kaysa sa mataas na profile na pambansang institusyon. Ang mga scammers ay lumipat mula sa bangko patungo sa bangko bawat linggo pagkatapos makumpleto ang kanilang mga kampanya.

Ayon sa Liberty Bank, ang iba pang mga institusyong pang-rehiyon ay na-hit na rin sa mga pag-atake ng mga pag-atake mula sa mga na-hack na sistema ng VOIP sa mga nakaraang linggo.

Hindi pinangalanan ng Liberty ang iba pang mga bangko na kasangkot, ngunit sa mga nakaraang linggo, ang Union State Bank at Solvay Bank ay nag-ulat ng mga katulad na mga pandaraya.

Lewis ay masuwerteng na hindi siya hit sa mga pangunahing singil sa telepono. Depende sa kung paano isinaayos ang kanilang mga system, ang mga negosyo ay maaaring may pananagutan para sa anumang mga pagsingil sa telepono - internasyonal na mga singil sa tawag, halimbawa - na lumabas mula sa insidente.

"Kung ang isang tao ay nagsisimula sa pag-abuso sa iyong sistema ng telepono, potensyal ka sa "Ikinuwento ni Todd ng Digium."

Naniniwala ang Unang Pangulo ng Liberty Bank na si Jill Hitchman na ang mga scammer na naka-target sa kanyang bangko ay malamang na maabot sa pagitan ng 30 at 35 na mga negosyo at gumawa sa pagitan ng 20,000 at 30,000 na tawag sa telepono bawat araw. "Hindi sa tingin ko ang mga kumpanyang ito ay napagtanto na malamang na magkakaroon na sila ng mga singil," sabi ni Hitchman. "Ang mas malaking isyu ay, paano naka-access ang mga sistemang ito ng telepono at bakit hindi natin ito mapipigil?"

Maraming mga customer ng Liberty ang nahulog para sa scam, sinabi ni Hitchman, ngunit alam ng mga attacker kung ano ang kanilang ginagawa. Una sila ay mag-sign up para sa AOL account, upang subukan na ang mga numero ng card ay nagtrabaho. Dahil nag-aalok ang AOL ng mga libreng pagsapi sa pagsubok, ang mga singil na ito ay hindi lumilitaw nang ilang buwan. Sa oras na iyon, ang mga scammers ay naglagay ng impormasyon tungkol sa mga pekeng ATM card at inubos ang mga account sa bangko.

Maaaring maiwasan ng mga negosyo ang maraming mga pag-atake na ito sa pamamagitan ng pagbabago ng port na ginagamit nila para sa mga koneksyon sa Session Initiation Protocol (SIP) sa kanilang mga sistema ng VoIP, sa pamamagitan ng pag-block ng mga koneksyon pagkatapos ng isang tiyak na bilang ng mga pagkabigo, at sa pamamagitan lamang ng paggamit ng mas mahusay na mga password sa kanilang mga system ng boses, sinasabi ng mga eksperto sa seguridad.

Ang problema ay para sa karamihan sa maliliit at katamtamang mga laki na negosyo, seguridad ay hindi lamang isang priyoridad. "Ang mga tao ay nag-aalaga ng higit pa tungkol sa kung ang kanilang mga tawag sa pagpupulong ay magkakaroon ng disenteng kalidad ng telepono," sabi ni Rodney Thayer, chief technology officer na may Securox kumpanya ng seguridad ng VoIP.

Hindi nila iniisip ang kanilang mga sistema ng VoIP bilang mahina sa pag-atake sa Internet lang tulad ng mga server sa Web o e-mail, at iyan ay isang pagkakamali, sinabi ni Thayer. "Iniisip nila ito bilang isang iba't ibang mga sistema, at hindi ito," sabi niya. "Ang lahat ng ito ay parehong mga bagay-bagay, ang lahat ng data ay lumalabas sa isang network."