ウェブサイト

インターネット電話システムが詐欺師のツールになる

株式会社博展 - 東芝実績動画

株式会社博展 - 東芝実績動画
Anonim

サイバー犯罪者は、詐欺のための新しい発射パッドを発見しました。米国中の中小企業の電話システム。

近年、彼らは全国の数十の電話システムをハッキングし、疑いのない銀行の顧客に連絡して、銀行口座番号とパスワードを漏らすように騙す方法。

犠牲者は、通常、詐欺を検出するためのリソースが少ない小規模な地域機関に支店を構えています。詐欺師は電話システムをハッキングし、犠牲者に電話をかけ、事前に記録されたメッセージを再生して、請求エラーが発生したか、疑わしい活動のために銀行口座が停止されたことを警告します。気になる顧客が口座番号とATMパスワードを入力すると、悪い人はその情報を使って偽のデビットカードを作成し、被害者の銀行口座を空にします。

[さらに読む:メディアストリーミングとバックアップ用のNASボックス]

20年以上前に電話会社のシステムに侵入するための見出しを作りました。これは従来の電話システムがインターネットに統合されたことで、詐欺の新たな機会が生まれました。ニュージャージー地区の米国弁護士であるErez Liebermannは、VoIP(voice over Internet Protocol)ハッキングは「通信とサイバー[犯罪]の交差する世界の新しいフロンティア」だと語った。 Asteriskと呼ばれる最も普及しているVoIPシステムの1つに対する攻撃は、今や「風土病」であると、製品のために働いているJohn Todd氏は述べています。「これは企業が心配する必要がある進行中の脅威であり、深刻な脅威です。オープンソースのコミュニティディレクターであるDigiumを創造しました。アスタリスクのハッキングは、かなり低レベルの問題から2008年の9月ごろにはるかに深刻な問題に発展し始めました。これは、使いやすいツールが初めて出版されたときに、トッド氏は言いました。 「現在、ビデオやブログ、ポッドキャストがある人がいる」と彼は語った。これらのツールを使用すると、オフィスのローカルエリアネットワークからAT&Tなどのネットワークプロバイダにトラフィックを接続するように設計されたサーバーを突き当てることで、VoIPシステムを簡単にハックすることができます。

ハッカーは、VoIPシステムのパスワードを推測し、何千もの推測を行います。 Gmailなどのインターネットプログラムは、パスワードの推測が失敗した後に訪問者をブロックしますが、VoIPシステムはこのように設定されていないことが多く、コンピュータに接続することがよくあります。だからハッカーたちは電話機の内線番号を推測しようとしている。拡張子が見つかると、辞書攻撃ソフトウェアが実行されます。パスワードを推測するのが簡単であれば、ネットワークに接続されており、無料で電話をかけることができます。

これはWest VirginiaのWheelingにあるInnovative Technologiesに起こりました。 10月初めには、ルーマニアのサイバー犯罪者が、VoIPシステムを使ってカリフォルニアに拠点を置く小さな地方銀行のリバティーバンクの顧客に電話ベースのフィッシング詐欺を行うことを明らかにした。

Innovative Technologies社のCEO、Terry Lewisは、10月3日、詐欺の電話を受けたLibertyの顧客からボイスメールを受け取るようになった。彼は翌日、VoIPシステムのログをチェックし、ハッカーたちが週末に約300通の通話を行ったことを発見しました。通常は気づいていたほど多くの通話ではありません。

VoIPシステムがハッキングされると、時にはvishingと呼ばれる電話ベースのフィッシング攻撃を実行することができます。 Vishing攻撃は数年前からありましたが、多くの場合、レーダーの下で飛行しました。なぜなら、彼らはしばしば注目度の高い国の機関ではなく、より小さな地方の銀行をターゲットにしていたからです。詐欺師は、キャンペーンを完了した後、毎週銀行から銀行に移ります。

リバティー・バンクによれば、他の地域機関もまた、最近数週間でVoIP・システムをハッキングして攻撃を仕掛けている。

リバティーは他の銀行の名前を挙げなかったが、近年、ユニオン・ステート・バンクとソルベイ・バンクは同様の詐欺を報告しているルイスは大きな電話料金で殴られなかったことは幸運だった。

「誰かがあなたの電話システムを悪用し始めた場合、あなたは潜在的にあなたのシステムを構成している可能性があります。リチャード・バンク・ファースト・バイス・プレジデントジル・ヒッチマンは、銀行をターゲットとした詐欺師が30〜35人の企業を襲い、1日に2万〜3万通の通話をしていた可能性が高いと考えている。ヒッチマン氏は、「これらの企業は、おそらく有料になるとは思っていない」と述べた。 「より大きな問題は、これらの電話システムにどのようにアクセスしているのか、なぜそれをやめることができないのだろうか?」とヒッチマンは言ったが、攻撃者は彼らが何をしているかを知っていた。まず、AOLアカウントにサインアップして、カード番号が機能していることをテストします。 AOLは無料トライアルメンバーシップを提供しているため、これらの費用は数ヶ月間表示されません。

企業は、VoIPシステム上のSIP(Session Initiation Protocol)接続に使用するポートを変更することで、これらの攻撃の多くを防ぐことができます。これにより、企業は偽のATMカードに情報を入れて銀行口座を空にします。セキュリティの専門家は言う。問題は、ほとんどの中小企業にとってセキュリティは重要ではないということだ。 VoIPセキュリティ会社のSecorixの最高技術責任者、Rodney Thayer氏は、「人々は、電話会議がまともな電話品質を持つかどうかについてもっと気にしている」と話す。彼らはVoIPシステムがインターネット攻撃に対して脆弱だとは考えていないThayer氏は、Webや電子メールサーバーのようなものだが、それは間違いだと語った。 「彼らはそれを別のシステムと考え、それはそうではない」と彼は言った。 「これはまったく同じものだが、すべてのデータがネットワークを経由している」。