Internet-Telefon-Systeme werden zum Betrugs-Tool

Cyberkriminelle haben einen neuen Startpunkt für ihre Betrügereien gefunden: die Telefonsysteme kleiner und mittlerer Unternehmen in den USA.

In den vergangenen Wochen haben sie sich in Dutzende von Telefonsystemen im ganzen Land gehackt und benutzen sie als eine Möglichkeit, ahnungslose Bankkunden zu kontaktieren und sie dazu zu verleiten, ihre Bankkontonummern und Passwörter preiszugeben.

Die Opfer arbeiten in der Regel mit kleineren regionalen Institutionen zusammen, die typischerweise weniger Ressourcen zur Aufdeckung von Betrügereien haben. Betrüger hacken sich in Telefonsysteme ein und rufen dann Opfer an, die voraufgezeichnete Nachrichten spielen, die sagen, dass ein Rechnungsfehler aufgetreten ist, oder sie warnen, dass das Bankkonto wegen verdächtiger Aktivitäten gesperrt wurde. Wenn der besorgte Kunde seine Kontonummer und sein ATM-Passwort eingibt, verwenden die Bösen diese Informationen, um gefälschte Debitkarten zu erstellen und die Bankkonten des Opfers zu leeren.

[Weiterführende Literatur: Beste NAS-Boxen für Medien-Streaming und Backup]

Hacker Schlagzeilen gemacht, als man vor mehr als 20 Jahren in die Systeme von Telefongesellschaften einbrach - eine Praxis, die als Phreaking bekannt wurde - aber da das herkömmliche Telefonsystem in das Internet integriert wurde, entstehen neue Betrugsmöglichkeiten, die gerade erst entstehen verstanden.

VoIP (Voice over Internet Protocol) Hacking ist "eine neue Grenze in der Crossover-Welt der Telekommunikation und Cyber ​​[Kriminalität]", sagte Erez Liebermann, stellvertretender US-Anwalt für den Bezirk New Jersey. "Es ist eine fortwährende Bedrohung und eine ernsthafte Bedrohung, über die sich Unternehmen Sorgen machen müssen."

Angriffe auf eines der beliebtesten VoIP-Systeme namens Asterisk sind jetzt "endemisch", sagte John Todd, der für das Produkt arbeitet Schöpfer, Digium, als Open-Source-Community-Direktor. "Es ist, als würde man einen Baseballschläger stehlen, um in ein Auto einzubrechen. Der erste Schritt ist, in Asterisk einzubrechen."

Asterisk-Hacking begann sich von einem ziemlich "niedrigen Problem" zu einem viel ernsteren Problem um September 2008 zu entwickeln, als einfach zu bedienende Werkzeuge veröffentlicht wurden, sagte Todd. "Es gibt jetzt Leute, die Videos machen und es gibt Blogs und Podcasts", sagte er. "Die Informationen sind da draußen."

Mit diesen Tools kann es ziemlich einfach sein, ein VoIP-System zu hacken, indem man den Server trifft, der Traffic vom lokalen Netzwerk des Büros mit einem Netzwerkanbieter wie AT & T verbindet Anrufe in den Rest der Welt.

Der Hacker versucht, die Passwörter des VoIP-Systems zu erraten und tausende Vermutungen anzustellen. Während ein Internetprogramm wie Google Mail Besucher nach einer Handvoll fehlgeschlagener Passwortschätzungen blockiert, sind VoIP-Systeme oft nicht auf diese Weise konfiguriert und lassen häufig einen Computer mit ihnen verbinden. Hacker hämmern sie an und versuchen, funktionierende Telefonerweiterungen zu erraten. Sobald sie eine Erweiterung gefunden haben, führen sie ihre Wörterbuch-Angriffs-Software aus. Wenn das Passwort einfach zu erraten ist, sind sie im Netzwerk und können kostenlos telefonieren.

Genau das ist Innovative Technologies aus Wheeling in West Virginia passiert. Es wurde Anfang Oktober gehackt, offenbar von rumänischen Cyberkriminellen, die mit ihrem VoIP-System telefonische Phishinganrufe an Kunden der Liberty Bank, einer kleinen regionalen Bank mit Büros in Kalifornien, verübten.

"Sie hatten eine ganze Menge gescannt IP-Adressen im Internet, um [VoIP-] Server zu finden ", sagte Terry Lewis, CEO von Innovative Technologies.

Am 3. Oktober begann Lewis Voicemail von Liberty-Kunden zu erhalten, die die Betrugsanrufe erhalten hatten. Er überprüfte am nächsten Tag seine VoIP-System-Logs und stellte fest, dass die Hacker am Wochenende über 300 Anrufe getätigt hatten - nicht so viele Anrufe, wie es normalerweise bemerkt worden wäre.

Sobald das VoIP-System gehackt ist, nutzen die Kriminellen Es um phone-basierte Phishing-Attacken durchzuführen, manchmal auch als Vishing bezeichnet. Visionsangriffe gibt es seit einigen Jahren, aber sie sind weitgehend unter dem Radar geflogen, weil sie oft kleinere Regionalbanken als hochrangige nationale Institutionen anvisieren. Die Betrüger bewegen sich jede Woche nach Abschluss ihrer Kampagnen von Bank zu Bank.

Laut der Liberty Bank wurden in den letzten Wochen auch andere regionale Institutionen mit Visiting-Attacken von gehackten VoIP-Systemen konfrontiert.

Liberty hat die anderen beteiligten Banken nicht genannt, aber in den letzten Wochen haben die Union State Bank und die Solvay Bank ähnliche Betrügereien gemeldet.

Lewis hatte Glück, dass er nicht mit großen Telefongebühren belegt wurde. Je nachdem, wie ihre Systeme konfiguriert sind, können Unternehmen für alle Telefongebühren, beispielsweise internationale Anrufgebühren, verantwortlich gemacht werden, die sich aus dem Vorfall ergeben.

"Wenn jemand anfängt, Ihre Telefonanlage zu missbrauchen, sind Sie möglicherweise auf der haken für eine Menge Geld ", sagte Digiums Todd.

Erste Vizepräsidentin der Liberty Bank Jill Hitchman glaubt, dass die Betrüger, die ihre Bank ins Visier genommen haben, wahrscheinlich zwischen 30 und 35 Unternehmen trafen und zwischen 20.000 und 30.000 Anrufe pro Tag machten. "Ich glaube nicht, dass diese Unternehmen erkennen, dass sie wahrscheinlich Anklage bekommen werden", sagte Hitchman. "Das größere Problem ist, wie wird auf diese Telefonsysteme zugegriffen und warum können wir sie nicht stoppen?"

Nur ein paar Liberty-Kunden fielen auf den Betrug herein, sagte Hitchman, aber die Angreifer wussten, was sie taten. Zuerst würden sie sich für AOL-Accounts anmelden, um zu testen, ob die Kartennummern funktionieren. Da AOL kostenlose Testmitgliedschaften anbietet, werden diese Gebühren nicht monatelang angezeigt. Zu dieser Zeit haben die Betrüger die Informationen auf gefälschte ATM-Karten abgelegt und die Bankkonten geleert.

Unternehmen könnten viele dieser Angriffe verhindern, indem sie den Port für SIP-Verbindungen (Session Initiation Protocol) auf ihren VoIP-Systemen ändern. Durch die Blockierung von Verbindungen nach einer bestimmten Anzahl von Ausfällen und einfach durch die Verwendung besserer Kennwörter auf ihren Sprachsystemen, sagen Sicherheitsexperten.

Das Problem ist, dass Sicherheit für die meisten kleinen und mittleren Unternehmen keine Priorität hat. "Die Leute kümmern sich viel mehr darum, ob ihre Konferenzanrufe eine anständige Telefonqualität haben werden", sagte Rodney Thayer, Chief Technology Officer bei der VoIP-Sicherheitsfirma Secorix.

Sie denken nicht, dass ihre VoIP-Systeme so anfällig für Internet-Attacken sind wie Web- oder E-Mail-Server, und das ist ein Fehler, sagte Thayer. "Sie denken darüber nach wie ein anderes System, und das ist es nicht", sagte er. "Es ist alles dasselbe, es sind alle Daten, die über ein Netzwerk gehen."