인터넷 전화 시스템이 사기꾼의 도구가되었습니다.

사이버 범죄자들은 ​​사기에 대한 새로운 발판을 발견했습니다. 미국 전역의 중소기업 전화 시스템입니다.

최근 몇 주 동안 전국의 수십 개의 전화 시스템을 해킹하여 예기치 못한 은행 고객에게 연락하여 은행 계좌 번호와 비밀번호를 누설하도록 유도하는 방법.

희생자는 일반적으로 사기를 감지 할 수있는 자원이 적은 소규모 지역 기관과 거래합니다. 사기꾼은 전화 시스템을 해킹 한 다음 피해자를 호출하여 미리 기록 된 메시지를 재생하거나 청구 오류가 발생했거나 의심스러운 활동으로 인해 은행 계좌가 정지되었다고 경고합니다. 걱정스러운 고객이 계좌 번호와 ATM 비밀번호를 입력하면 악의적 인 사람들이 그 정보를 사용하여 가짜 직불 카드를 만들고 피해자의 은행 계좌를 비 웁니다.

[추가 정보: 미디어 스트리밍 및 백업을위한 최고의 NAS 상자]

해커 20 년 전 전화 회사 시스템에 침입 한 헤드 라인 - 프리 킹 (phreaking)으로 알려진 사례 - 그러나 전통적인 전화 시스템이 인터넷과 통합되면서 사기에 대한 새로운 기회가 창출되고 있습니다. 뉴저지 지역의 미국 변호사 인 에레즈 리버만 (Erez Liebermann)은 VoIP (voice over Internet Protocol) 해킹은 "통신 및 사이버 범죄의 크로스 오버 세계에서 새로운 국경"이라고 말했다. "이것은 회사가 걱정해야 할 지속적인 위협이자 심각한 위협입니다."Asterisk라고하는 가장 널리 사용되는 VoIP 시스템 중 하나에 대한 공격은 현재 "특유의 것"이라고 John Todd는 말했습니다. 창시자 인 Digium을 오픈 소스 커뮤니티 디렉터로 선임했습니다. "Asterisk 해킹은 2008 년 9 월경에 상당히 낮은 수준의 문제로 진화하기 시작했다."Asterisk 해킹은 자동차에 침입하기 위해 야구 방망이를 훔치는 것과 같다. 사용하기 쉬운 툴이 처음 출판되었을 때, 토드는 말했다. "현재 블로그와 Podcast가있는 사람들이있다"고 그는 말했다. "이 정보를 이용하면 사무실의 로컬 영역 네트워크에서 AT & T와 같은 네트워크 제공 업체로 트래픽을 연결하도록 설계된 서버를 치면 VoIP 시스템을 해킹하는 것이 매우 쉬울 수 있습니다.

해커는 VoIP 시스템의 암호를 추측하여 수천만 건의 추측을 시도합니다. Gmail과 같은 인터넷 프로그램은 패스워드 추측에 실패한 후 방문자를 차단하지만 VoIP 시스템은 이러한 방식으로 구성되지 않는 경우가 많으며 종종 어떤 컴퓨터도 해당 컴퓨터에 연결할 수 있습니다. 그래서 해커들이 전화 확장 기능을 추측하려고 노력하고 있습니다. 확장 프로그램을 찾으면 사전 공격 소프트웨어를 실행합니다. 암호를 추측하기 쉽다면 그들은 네트워크에 있으며 무료로 전화를 걸 수 있습니다.

West Virginia의 Wheeling에있는 Innovative Technologies에서 그런 일이있었습니다. 10 월 초에 루마니아 사이버 범죄자들에 의해 해킹 당해서 VoIP 시스템을 사용하여 캘리포니아에 사무소가있는 작은 지역 은행 인 Liberty Bank의 고객에게 전화 기반 피싱 전화를 걸었습니다.

Innovative Technologies의 CEO 인 테리 루이스 (Terry Lewis)는 "인터넷상의 IP 주소를 이용하여 [VoIP] 서버를 찾을 수있다"고 말했다.

10 월 3 일에 루이스는 사기를받은 리버티 고객으로부터 음성 메일을 받기 시작했다. 그는 다음날 자신의 VoIP 시스템 로그를 조사한 결과, 해커가 주말에 약 300 건의 전화를 걸었다는 사실을 발견했다. 보통은 VoIP 시스템이 해킹 당하면 범죄자들은 때로는 vishing이라고 불리는 전화 기반 피싱 공격을 수행합니다. Vishing 공격은 지금 몇 년 전부터 있었지만, 그들은 종종 유명 인사 국가 기관이 아닌 작은 지역 은행을 대상으로하기 때문에 주로 레이더로 비행했습니다. 사기범들은 캠페인을 마친 후 매주 은행에서 은행으로 이전합니다.

리버티 은행 (Liberty Bank)에 따르면 다른 지역 기관들도 최근 몇 주간 해킹 된 VoIP 시스템에 대한 공격으로 타격을 입었습니다.

Liberty는 다른 은행의 이름을 밝히지 않았지만 최근 몇 주간 Union State Bank와 Solvay Bank는 유사한 사기를보고했습니다. 루이스는 큰 전화 요금으로 타격을 입지 않았기 때문에 운이 좋았습니다. 시스템이 어떻게 구성되어 있느냐에 따라 기업은 사고로 인해 발생하는 전화 요금 (예: 국제 전화 요금)에 대해 책임을 질 수 있습니다.

"누군가가 전화 시스템을 악용하기 시작하면 잠재적으로 리차드 뱅크 (Jill Hitchman) 리차드 뱅크 (Richard Liberty Bank) 제 1 부통령은 은행을 타겟으로 한 사기범이 30 ~ 35 개 업체에 1 대당 20,000 ~ 30,000 건의 전화를 걸고있는 것으로 추정하고있다. 히치 만은 "이 회사들이 아마 그들이 요금을받을 것으로 알고 있음을 깨닫지 못한다"고 말했다. "더 큰 문제는이 전화 시스템에 어떻게 액세스하고 있으며 왜 멈출 수없는 것입니까?"라고 Hitchman은 말합니다. 그러나 일부 리버티 고객은 사기에 빠졌지 만 공격자는 자신이하는 일을 알고있었습니다. 먼저 AOL 계정에 등록하여 카드 번호가 작동하는지 테스트합니다. AOL은 무료 평가판 멤버십을 제공하기 때문에 이러한 요금은 몇 달 동안 나타나지 않습니다. 그때 사기꾼들은 정보를 가짜 ATM 카드에 넣고 은행 계좌를 비 웠습니다. 기업은 VoIP 시스템에서 SIP (Session Initiation Protocol) 연결에 사용하는 포트를 변경하여 이러한 공격을 막을 수 있습니다. 보안 전문가들은 음성 시스템에서 더 나은 암호를 사용하는 것만으로도 문제가없는 연결을 차단하고 보안 전문가에게 말합니다.

문제는 대부분의 중소기업에서는 보안이 최우선 순위가 아니라는 것입니다. VoIP 보안 회사 인 Secorix의 CTO 인 로드니 테 이어 (Rodney Thayer)는 "사람들은 회의 통화가 적절한 전화 품질을 유지할 것인지에 대해 더 많이 신경을 썼다."라고 말하면서 VoIP 시스템이 인터넷 공격에 취약하다고 생각하지 않는다고 말했다. 웹이나 전자 메일 서버처럼, 실수 다. "그들은 그것을 다른 시스템으로 생각하고 그렇지 않습니다."라고 그는 말했다. "그것은 모두 똑같은 것이고 그것은 네트워크를 통해가는 모든 데이터입니다."