VoIP kieruje połączenia głosowe przez szybkie łącza internetowe zamiast dedykowanych linii miedzianych. VoIP umożliwia przesyłanie głosu do tej samej sieci danych.
VoIP obniża koszty połączeń telefonicznych i umożliwia użytkownikom dostęp do zaawansowanych funkcji. Oferuje elastyczność, mobilność i skalę. Jednak systemy telefoniczne VoIP są również podatne na różne zagrożenia. Mogą podlegać atakom, lukom w systemie czy próbom włamań.
Ponieważ VoIP staje się coraz bardziej popularny na całym świecie, liczba przypadków oszustw i problemów związanych z bezpieczeństwem stale rośnie. Nie pomaga fakt, że niewiele organizacji zdaje sobie sprawę ze skali niebezpieczeństwa, w którym działa VoIP. Wiele osób zakłada, że VoIP jest jak PSTN, więc nie jest potrzebne wiele zabezpieczeń. Niestety się mylą.
Zagrożenia bezpieczeństwa VoIP — oszustwa
Systemy VoIP są podatne na wiele tych samych zagrożeń, które nękają inne formy technologii komputerowych. Złośliwe oprogramowanie, włamania do sieci, ataki DDoS, a nawet próby phishingu mogą zagrozić systemom VoIP.
Oszustwa VoIP stanowią dużą część agrożeń. Ogólnie rzecz biorąc, osoba lub podmiot dopuszcza się oszustwa, gdy korzysta z usług VoIP bez zamiaru dokonywania płatności. Oszustwom VoIP zwykle towarzyszą inne nielegalne schematy, takie jak kradzież tożsamości, kradzież subskrypcji, włamania i wykorzystywanie luk w systemie. Hakerzy zazwyczaj starają się unikać płacenia rachunków od dostawców usług, płacą tylko niewielką część lub próbują nakłonić kogoś do zapłaty należnej kwoty.
Niektóre rodzaje oszustw VoIP mogą być technicznie legalne w niektórych krajach, ale nadal przynoszą szkody dostawcom usług VoIP, organizacjom korzystającym z ich usług, a nawet użytkownikom. W większości przypadków oszuści atakują organizacje. Może to być firma, która sprzedaje usługi VoIP lub z nich korzysta. Dość często organizacje, do których skierowane są ataki, nie mają pojęcia, że doszło do naruszenia bezpieczństwa. Ale znajdą się na haku z powodu nieautoryzowanych połączeń telefonicznych o wartości tysięcy dolarów.
Rodzaje oszustw VoIP
Niektóre rodzaje oszustw VoIP wykorzystują techniki opracowane dla sieci PSTN. Inne są inspirowane oprogramowaniem do hakowania komputerów. Firmy mogą nie zawracać sobie głowy aktualizacją oprogramowania na swoim sprzęcie VoIP, co pozwala hakerom na atakowanie ich. Najczęstsze rodzaje oszustw zaczynają się od naruszeń bezpieczeństwa, ataków phishingowych, a nawet technik socjotechnicznych.
Oszustwo związane z przekazywaniem połączeń
Oszustwo związane z transferem połączeń ma miejsce, gdy ktoś włamie się do centrali VoIP PBX, aby wykonać bezpłatne połączenia międzynarodowe. Haker zazwyczaj ma własną usługę VoIP w innym kraju. Gdy abonent fałszywej usługi wykonuje połączenie z międzynarodowym miejscem docelowym, połączenie przechodzi przez zhakowaną centralę PBX. Faktyczny właściciel serwera PBX nie może obciążać abonenta oszukańczą usługą. Oszuści mogą pobierać od swoich klientów płatności za usługi świadczone za pośrednictwem skradzionych zasobów.
W wielu przypadkach hakerzy są w stanie wygenerować znaczne przychody, zanim zostaną zidentyfikowani. Gdy naruszenie wyjdzie na jaw, firma może zrobić niewiele więcej niż naprawić lukę. Władze nie są w stanie zajmować się tą sprawą ponad granicami międzynarodowymi.
Programy dzielenia się przychodami
Ten rodzaj oszustwa zazwyczaj obejmuje numery telefonów o podwyższonej opłacie. Połączenia z tego typu numerem mają wyższą cenę za niektóre usługi. Hakerzy stworzą firmy-przykrywki, które będą kupować te numery o podwyższonej opłacie. Mogą sztucznie zwiększyć ruch na te numery, jeśli otrzymają część opłaty za połączenie.
W większości przypadków oszust włamie się do sieci głosowej organizacji i wygeneruje nieautoryzowane połączenia na numer o podwyższonej opłacie. Zwykle robią to w weekend, aby naruszenie nie zostało wykryte przed kilkugodzinnymi rozmowami telefonicznymi. Niczego niepodejrzewająca ofiara otrzyma ogromny rachunek, a haker otrzyma dochód z nielegalnych połączeń międzynarodowych.
Większość schematów oszustw VoIP polega na włamywaniu się do różnych systemów PBX. Wiele korporacyjnych urządzeń PBX ma słabą kontrolę uwierzytelniania. Pracownicy mogą nie znać najlepszych praktyk w zakresie bezpieczeństwa i ponownie używać haseł w różnych witrynach, które można łatwo złamać. Gdy haker przejmie kontrolę nawet nad jednym kontem użytkownika, łatwiej będzie uzyskać dostęp do innych. Wiele usług VoIP nie stosuje odpowiedniego schematu szyfrowania, co stanowi kolejny czynnik ryzyka.
Wykrycie i zablokowanie fałszywych połączeń VoIP nie jest łatwe. Niektórzy usługodawcy blokują numery z krajów znanych z wysokich wskaźników oszustw. Jednak takie próby rzadko kończą się sukcesemTakie agresywne blokowanie może również wpływać na legalne połączenia.
Wielowarstwowe podejście do obrony może chronić przed oszustwami VoIP. Analiza zapisów połączeń w czasie rzeczywistym pomoże również w identyfikacji nietypowych wzorców, nagłych skoków ruchu, nieproporcjonalnej liczby nieodebranych połączeń itp. Oszustwa VoIP to ogromny problem dla branży. Zarówno usługodawcy, jak i ich klienci powinni współpracować w celu zabezpieczenia systemów głosowych.
