Sistem Telepon Internet Menjadi Alat Penipu

Penjahat dunia maya telah menemukan landasan peluncuran baru untuk penipuan mereka: sistem telepon dari usaha kecil dan menengah di seluruh AS

Dalam beberapa minggu terakhir, mereka meretas ke dalam puluhan sistem telepon di seluruh negeri, menggunakan mereka sebagai cara untuk menghubungi pelanggan bank yang tidak curiga dan mengelabui mereka agar mengungkapkan nomor rekening dan kata sandi bank mereka.

Para korban biasanya bank dengan lembaga regional yang lebih kecil, yang biasanya memiliki sumber daya yang lebih sedikit untuk mendeteksi penipuan. Scammer meretas ke dalam sistem telepon dan kemudian memanggil korban, memainkan pesan yang direkam sebelumnya yang mengatakan telah terjadi kesalahan penagihan atau memperingatkan mereka bahwa rekening bank telah ditangguhkan karena aktivitas yang mencurigakan. Jika pelanggan yang khawatir memasukkan nomor rekening dan kata sandi ATM-nya, orang jahat menggunakan informasi itu untuk membuat kartu debit palsu dan mengosongkan rekening bank korban mereka.

[Bacaan lebih lanjut: Kotak NAS terbaik untuk streaming media dan cadangan]

Peretas menjadi berita utama untuk membobol sistem perusahaan telepon lebih dari 20 tahun yang lalu - sebuah praktik yang dikenal sebagai phreaking - tetapi karena sistem telepon tradisional telah terintegrasi dengan internet, itu menciptakan peluang baru untuk penipuan yang baru saja mulai menjadi dipahami.

Peretasan VoIP (Voice over Internet Protocol) adalah "sebuah perbatasan baru dalam dunia komunikasi dan kejahatan dunia maya," kata Erez Liebermann, asisten pengacara AS untuk distrik New Jersey. "Ini adalah ancaman berkelanjutan dan ancaman serius yang perlu dikhawatirkan oleh perusahaan."

Serangan terhadap salah satu sistem VoIP paling populer, yang disebut Asterisk, sekarang "endemik," kata John Todd, yang bekerja untuk produk tersebut. pencipta, Digium, sebagai direktur komunitas open-source. "Ini seperti mencuri tongkat baseball untuk membobol mobil. Langkah pertama adalah membobol Asterisk."

Peretasan asterisk mulai berkembang dari "masalah tingkat-rendah" menjadi isu yang jauh lebih serius sekitar September 2008, ketika alat yang mudah digunakan pertama kali diterbitkan, kata Todd. "Sekarang ada orang yang melakukan video di dalamnya dan ada blog dan podcast," katanya. "Informasi ada di luar sana."

Dengan alat-alat ini, akan sangat mudah untuk meretas sistem VoIP dengan menekan server yang dirancang untuk menghubungkan lalu lintas dari jaringan area lokal kantor ke penyedia jaringan seperti AT & T, yang menghubungkan panggilan ke seluruh dunia.

Peretas mencoba menebak kata sandi sistem VoIP, membuat ribuan tebakan. Meskipun program Internet seperti Gmail akan memblokir pengunjung setelah beberapa tebakan kata sandi gagal, sistem VoIP sering kali tidak dikonfigurasi dengan cara ini dan sering kali akan membiarkan komputer mana pun terhubung dengan mereka. Jadi para peretas memukuli mereka, mencoba menebak ekstensi telepon yang berfungsi. Begitu mereka menemukan ekstensi, mereka menjalankan perangkat lunak serangan kamus mereka. Jika kata sandi mudah ditebak, mereka berada di jaringan dan dapat menelepon secara gratis.

Itulah yang terjadi pada Teknologi Inovatif, yang berbasis di Wheeling, West Virginia. Itu diretas pada awal Oktober, tampaknya oleh para penjahat cyber Rumania yang menggunakan sistem VoIP untuk melakukan phishing telepon berbasis panggilan ke pelanggan Liberty Bank, sebuah bank regional kecil dengan kantor di California.

"Mereka telah memindai sejumlah besar Alamat IP di Internet untuk mencari server [VoIP], "kata Terry Lewis, CEO Innovative Technologies.

Pada 3 Oktober, Lewis mulai mendapatkan pesan suara dari pelanggan Liberty yang menerima panggilan penipuan. Dia memeriksa log sistem VoIP-nya keesokan harinya dan menemukan bahwa peretas telah melakukan sekitar 300 panggilan selama akhir pekan - tidak begitu banyak panggilan yang biasanya sudah diketahui.

Setelah sistem VoIP diretas, para penjahat menggunakan untuk melakukan serangan phishing berbasis telepon, kadang-kadang disebut vishing. Vishing serangan telah ada selama beberapa tahun sekarang, tetapi mereka sebagian besar telah terbang di bawah radar, karena mereka sering menargetkan bank-bank regional yang lebih kecil daripada lembaga-lembaga nasional profil tinggi. Penipu berpindah dari bank ke bank setiap minggu setelah menyelesaikan kampanye mereka.

Menurut Liberty Bank, lembaga-lembaga regional lainnya juga telah dihantam oleh serangan-serangan yang menghebohkan dari sistem VoIP yang diretas dalam beberapa minggu terakhir.

Liberty tidak menyebutkan nama bank-bank lain yang terlibat, tetapi dalam beberapa pekan terakhir, Union State Bank dan Solvay Bank telah melaporkan penipuan serupa.

Lewis beruntung karena dia tidak terkena biaya telepon besar. Tergantung pada bagaimana sistem mereka dikonfigurasi, bisnis dapat bertanggung jawab atas biaya telepon - biaya panggilan internasional, misalnya - yang timbul dari insiden tersebut.

"Jika seseorang mulai menyalahgunakan sistem telepon Anda, Anda berpotensi berada di Mengaitkan banyak uang, "kata Digium's Todd.

Wakil Presiden Liberty Bank Pertama, Jill Hitchman percaya bahwa penipu yang menargetkan banknya mungkin memukul antara 30 dan 35 bisnis dan membuat antara 20.000 dan 30.000 panggilan telepon per hari. "Saya tidak berpikir perusahaan-perusahaan ini menyadari bahwa mereka mungkin akan mendapatkan tuduhan," kata Hitchman. "Masalah yang lebih besar adalah, bagaimana sistem telepon ini diakses dan mengapa kita tidak bisa menghentikannya?"

Hanya beberapa pelanggan Liberty yang jatuh karena penipuan, kata Hitchman, tetapi para penyerang tahu apa yang mereka lakukan. Pertama mereka akan mendaftar untuk akun AOL, untuk menguji bahwa nomor kartu berfungsi. Karena AOL menawarkan keanggotaan uji coba gratis, biaya ini tidak muncul selama berbulan-bulan. Pada saat itu, para penipu telah meletakkan informasi tentang kartu ATM palsu dan mengosongkan rekening bank.

Bisnis dapat mencegah banyak serangan ini dengan mengubah port yang mereka gunakan untuk koneksi Session Initiation Protocol (SIP) pada sistem VoIP mereka, dengan memblokir koneksi setelah sejumlah kegagalan, dan hanya dengan menggunakan kata sandi yang lebih baik pada sistem suara mereka, para ahli keamanan mengatakan.

Masalahnya adalah bahwa untuk sebagian besar usaha kecil dan menengah, keamanan tidak menjadi prioritas. "Orang-orang lebih peduli tentang apakah panggilan konferensi mereka akan memiliki kualitas telepon yang layak," kata Rodney Thayer, kepala perwira teknologi dengan perusahaan keamanan VoIP Secorix.

Mereka tidak berpikir tentang sistem VoIP mereka sebagai rentan terhadap serangan Internet hanya seperti server web atau e-mail, dan itu kesalahan, kata Thayer. "Mereka menganggapnya sebagai sistem yang berbeda, dan itu tidak," katanya. "Itu semua hal yang sama; semua data melewati jaringan."