Sistemas de telefonia pela Internet tornam-se a ferramenta do fraudador

Nas últimas semanas, eles invadiram dezenas de sistemas de telefonia em todo o país, usando-os como uma forma de contatar clientes bancários desavisados ​​e enganá-los para que divulguem seus números e senhas de contas bancárias.

As vítimas costumam bancar com instituições regionais menores, que normalmente têm menos recursos para detectar fraudes. Os golpistas invadem os sistemas de telefonia e depois ligam para as vítimas, reproduzindo mensagens pré-gravadas que dizem que houve um erro de faturamento ou avisando que a conta bancária foi suspensa devido a atividades suspeitas. Se o cliente preocupado digitar seu número de conta e senha do caixa eletrônico, os malfeitores usam essas informações para fazer cartões de débito falsos e esvaziar as contas bancárias da vítima.

[Outras leituras: Melhores caixas NAS para streaming e backup de mídia]

Hackers fez manchetes por invadir sistemas de empresas de telefonia há mais de 20 anos - uma prática que era conhecida como phreaking - mas como o sistema de telefonia tradicional se integrou à Internet, está criando novas oportunidades para fraudes que estão apenas começando a ser

O hacking VoIP (Voz sobre Protocolo de Internet) é "uma nova fronteira no mundo das telecomunicações e do cyber [crime]", disse Erez Liebermann, procurador-assistente do distrito de Nova Jersey. "É uma ameaça constante e uma séria ameaça que as empresas precisam se preocupar."

Os ataques a um dos sistemas VoIP mais populares, chamado Asterisk, são agora "endêmicos", disse John Todd, que trabalha para o produto. criador, Digium, como diretor comunitário de código aberto. "É como roubar um taco de beisebol para entrar em um carro. O primeiro passo é entrar no Asterisk."

O asterisco começou a evoluir de um "problema de baixo nível" para um problema muito mais sério em setembro de 2008, quando ferramentas fáceis de usar foram publicadas pela primeira vez, disse Todd. "Agora há pessoas fazendo vídeos e há blogs e podcasts", disse ele. "As informações estão disponíveis".

Com essas ferramentas, pode ser muito fácil hackear um sistema VoIP ao acessar o servidor projetado para conectar o tráfego da rede local do escritório a um provedor de rede como a AT & T, que conecta o chamadas para o resto do mundo.

O hacker tenta adivinhar as senhas do sistema VoIP, fazendo milhares de tentativas. Embora um programa da Internet, como o Gmail, bloqueie os visitantes após um punhado de tentativas incorretas de senha, os sistemas VoIP geralmente não são configurados dessa maneira e geralmente permitem que qualquer computador se conecte a eles. Então os hackers atacam eles, tentando adivinhar extensões de telefone. Depois de encontrar uma extensão, eles executam seu software de ataque de dicionário. Se a senha é fácil de adivinhar, eles estão na rede e podem telefonar de graça.

Foi o que aconteceu com a Innovative Technologies, baseada em Wheeling, Virgínia Ocidental. Foi hackeado no início de outubro, aparentemente por criminosos cibernéticos romenos que usaram seu sistema VoIP para fazer chamadas de phishing baseadas em telefone para clientes do Liberty Bank, um pequeno banco regional com escritórios na Califórnia.

"Eles examinaram um monte de Endereços IP na Internet para encontrar servidores [VoIP] ", disse Terry Lewis, CEO da Innovative Technologies.

Em 3 de outubro, Lewis começou a receber mensagens de voz dos clientes Liberty que haviam recebido as chamadas fraudulentas. Ele checou seus logs do sistema VoIP no dia seguinte e descobriu que os hackers tinham feito cerca de 300 chamadas durante o final de semana - não tantas chamadas que normalmente teriam sido notadas.

Uma vez que o sistema VoIP é hackeado, os criminosos usam para executar ataques de phishing baseados em telefone, às vezes chamados de vishing. Os ataques de vingação existem há alguns anos, mas em grande parte eles fogem do radar, porque geralmente têm como alvo bancos regionais menores em vez de instituições nacionais de alto perfil. Os fraudadores passam de banco para banco toda semana depois de concluírem suas campanhas.

De acordo com o Liberty Bank, outras instituições regionais também foram atingidas com ataques vorazes de sistemas VoIP hackeados nas últimas semanas. A Liberty não citou os outros bancos envolvidos, mas nas últimas semanas, o Union State Bank e o Solvay Bank relataram fraudes semelhantes

Lewis teve sorte de não ser atingido por grandes acusações por telefone. Dependendo de como seus sistemas estão configurados, as empresas podem ser responsabilizadas por quaisquer despesas telefônicas - tarifas de chamadas internacionais, por exemplo - que surjam do incidente.

"Se alguém começar a abusar de seu sistema de telefonia, você está potencialmente Jill Hitchman, primeiro vice-presidente do Liberty Bank, acredita que os golpistas que atacaram seu banco provavelmente atingiram entre 30 e 35 empresas e estavam fazendo entre 20.000 e 30.000 telefonemas por dia. "Não acho que essas empresas percebam que provavelmente vão receber cobranças", disse Hitchman. "A questão maior é como esses sistemas de telefonia estão sendo acessados ​​e por que não podemos pará-lo?"

Apenas alguns clientes da Liberty se apaixonaram pelo golpe, disse Hitchman, mas os invasores sabiam o que estavam fazendo. Primeiro, eles se inscreviam em contas da AOL para testar se os números dos cartões funcionavam. Como a AOL oferece associações de avaliação gratuitas, essas cobranças não aparecem por meses. Naquela época, os golpistas colocaram as informações em cartões ATM falsos e esvaziaram as contas bancárias.

As empresas podem impedir muitos desses ataques alterando a porta que usam para conexões SIP (Session Initiation Protocol) em seus sistemas VoIP, bloqueando conexões após um certo número de falhas e simplesmente usando senhas melhores em seus sistemas de voz, dizem especialistas em segurança.

O problema é que, para a maioria das pequenas e médias empresas, a segurança não é uma prioridade. "As pessoas se preocupam mais em saber se suas teleconferências terão qualidade de telefone decente", disse Rodney Thayer, diretor de tecnologia da Secorix, empresa de segurança VoIP. Eles não consideram seus sistemas VoIP tão vulneráveis ​​a ataques da Internet como servidores da Web ou de e-mail, e isso é um erro, disse Thayer. "Eles pensam nisso como um sistema diferente, e não é", disse ele. "É tudo a mesma coisa; são todos os dados passando por uma rede."