Internet Phone Systems diventa lo strumento del truffatore

I criminali informatici hanno trovato un nuovo trampolino di lancio per le loro truffe: i sistemi telefonici delle piccole e medie imprese negli Stati Uniti

Nelle ultime settimane hanno hackerato dozzine di sistemi telefonici in tutto il paese, usandoli come un modo per contattare i clienti della banca ignari e indurli a divulgarne i numeri di conto bancario e le password.

Le vittime tipicamente bancano con istituzioni regionali minori, che in genere dispongono di meno risorse per rilevare le truffe. I truffatori introducono i sistemi telefonici e poi chiamano le vittime, riproducendo messaggi preregistrati che dicono che c'è stato un errore di fatturazione o avvisano che il conto bancario è stato sospeso a causa di attività sospette. Se il cliente preoccupato immette il suo numero di conto e la password ATM, i malintenzionati utilizzano tali informazioni per fare false carte di debito e svuotare i conti bancari della loro vittima.

[Ulteriori letture: i migliori NAS per lo streaming multimediale e il backup]

Hacker ha fatto notizia per aver fatto irruzione nei sistemi delle compagnie telefoniche più di 20 anni fa - una pratica che era conosciuta come phreaking - ma come il tradizionale sistema telefonico è diventato integrato con Internet, sta creando nuove opportunità di frode che stanno appena cominciando ad essere Compreso.

L'hacking VoIP (voice over Internet Protocol) è "una nuova frontiera nel mondo crossover delle telecomunicazioni e dei cybercriminali", ha affermato Erez Liebermann, assistente procuratore degli Stati Uniti per il distretto del New Jersey. "È una minaccia continua e una seria minaccia di cui le aziende devono essere preoccupate."

Gli attacchi a uno dei più popolari sistemi VoIP, chiamato Asterisk, sono ora "endemici", ha detto John Todd, che lavora per il prodotto creatore, Digium, come direttore della comunità open-source. "È come rubare una mazza da baseball per entrare in un'auto, il primo passo è entrare in Asterisk". L'incisione dell'asterisk ha iniziato a evolversi da un problema piuttosto "di basso livello" a un problema molto più serio intorno a settembre 2008, Quando furono pubblicati per la prima volta strumenti facili da usare, Todd disse. "Ora ci sono persone che fanno video e ci sono blog e podcast", ha detto. "Le informazioni sono là fuori".

Con questi strumenti, può essere abbastanza facile hackerare un sistema VoIP colpendo il server progettato per connettere il traffico dalla rete locale dell'ufficio a un fornitore di rete come AT & T, che collega il chiama al resto del mondo.

L'hacker cerca di indovinare le password del sistema VoIP, facendo migliaia di ipotesi. Mentre un programma Internet come Gmail bloccherà i visitatori dopo una serie di tentativi falliti, i sistemi VoIP spesso non sono configurati in questo modo e spesso permetteranno a qualsiasi computer di connettersi a loro. Così gli hacker li colpiscono, cercando di indovinare le estensioni del telefono. Una volta trovata un'estensione, eseguono il loro software di attacco del dizionario. Se la password è facile da indovinare, sono nella rete e possono telefonare gratuitamente.

Questo è quello che è successo a Innovative Technologies, con sede a Wheeling, West Virginia. All'inizio di ottobre è stato violato, a quanto pare, dai cybercriminali rumeni che hanno utilizzato il proprio sistema VoIP per effettuare chiamate di phishing telefoniche ai clienti di Liberty Bank, una piccola banca regionale con uffici in California.

"Avevano scansionato un intero gruppo di Indirizzi IP su Internet per trovare i server [VoIP] ", ha dichiarato Terry Lewis, CEO di Innovative Technologies.

Il 3 ottobre, Lewis ha iniziato a ricevere la segreteria telefonica dai clienti di Liberty che avevano ricevuto le chiamate di truffa. Controllò i log del suo sistema VoIP il giorno dopo e scoprì che gli hacker avevano fatto circa 300 chiamate nel fine settimana - non così tante chiamate che normalmente sarebbero state notate.

Una volta che il sistema VoIP viene violato, i criminali usano per eseguire attacchi di phishing basati sul telefono, a volte chiamati Vishing. Attacchi di Vishing sono in circolazione da alcuni anni, ma sono in gran parte volati sotto il radar, perché spesso prendono di mira banche regionali più piccole piuttosto che istituzioni nazionali di alto profilo. I truffatori si spostano da una banca all'altra ogni settimana dopo aver completato le loro campagne.

Secondo Liberty Bank, anche altre istituzioni regionali sono state colpite da attacchi vishing da parte di sistemi VoIP hackerati nelle ultime settimane.

Liberty non ha nominato le altre banche coinvolte, ma nelle ultime settimane Union State Bank e Solvay Bank hanno segnalato truffe simili.

Lewis è stato fortunato a non essere stato colpito dalle principali spese telefoniche. A seconda del modo in cui sono configurati i loro sistemi, le aziende possono essere ritenute responsabili di eventuali addebiti telefonici - ad esempio addebiti telefonici internazionali - derivanti dall'incidente.

"Se qualcuno inizia ad abusare del tuo sistema telefonico, sei potenzialmente sul gancio per un sacco di soldi ", ha detto Todd di Digium.

Il primo vicepresidente di Liberty Bank, Jill Hitchman, ritiene che i truffatori che hanno preso di mira la sua banca abbiano probabilmente coinvolto tra le 30 e le 35 imprese e tra 20.000 e 30.000 telefonate al giorno. "Non credo che queste aziende si rendano conto che probabilmente avranno delle accuse", ha detto Hitchman. "Il problema più grande è, come vengono acceduti questi sistemi telefonici e perché non possiamo fermarli?"

Solo pochi clienti di Liberty sono caduti per la truffa, ha detto Hitchman, ma gli aggressori sapevano cosa stavano facendo. Per prima cosa si sarebbero registrati per i conti AOL, per verificare che i numeri delle carte funzionassero. Poiché AOL offre iscrizioni di prova gratuite, questi addebiti non vengono visualizzati per mesi. A quel punto, i truffatori hanno messo le informazioni sulle carte bancomat false e svuotato i conti bancari.

Le aziende potrebbero prevenire molti di questi attacchi cambiando la porta che usano per le connessioni SIP (Session Initiation Protocol) sui loro sistemi VoIP, bloccando le connessioni dopo un certo numero di errori e usando semplicemente password migliori sui loro sistemi vocali, gli esperti di sicurezza dicono.

Il problema è che per la maggior parte delle piccole e medie imprese la sicurezza non è una priorità. "Le persone si preoccupano molto di sapere se le loro teleconferenze avranno una qualità decente del telefono", ha detto Rodney Thayer, responsabile tecnologico della Secorix, azienda di sicurezza VoIP.

Non pensano che i loro sistemi VoIP siano vulnerabili agli attacchi Internet come server Web o e-mail, e questo è un errore, ha detto Thayer. "Ci pensano come un sistema diverso, e non lo sono", ha detto. "Sono tutte le stesse cose, sono tutti dati che vanno su una rete."