Los sistemas de telefonía en Internet se convierten en la herramienta fraudulenta

han encontrado una nueva plataforma de lanzamiento para sus estafas: los sistemas telefónicos de pequeñas y medianas empresas en los EE. UU.

En las últimas semanas, han pirateado docenas de sistemas telefónicos en todo el país, usándolos como una forma de contactar a los clientes del banco desprevenidos y engañarlos para que divulguen sus números de cuenta bancaria y sus contraseñas.

Las víctimas generalmente realizan operaciones bancarias con instituciones regionales más pequeñas, que generalmente tienen menos recursos para detectar fraudes. Los estafadores ingresan a los sistemas telefónicos y luego llaman a las víctimas, reproducen mensajes pregrabados que dicen que hubo un error de facturación o les advierten que la cuenta bancaria ha sido suspendida debido a actividades sospechosas. Si el cliente preocupado ingresa su número de cuenta y contraseña de cajero automático, los delincuentes usan esa información para crear tarjetas de débito falsas y vaciar las cuentas bancarias de sus víctimas.

[Lectura adicional: Las mejores cajas NAS para transmisión de medios y respaldo]

Hackers fue noticia por irrumpir en los sistemas de las compañías telefónicas hace más de 20 años, una práctica que se conocía como phreaking, pero a medida que el sistema telefónico tradicional se ha integrado con Internet, está creando nuevas oportunidades para el fraude que apenas comienza a ser entendido.

El pirateo de VoIP (Protocolo de voz sobre Internet) es "una nueva frontera en el mundo crossover de las telecomunicaciones y el cibercrimen [delictivo]", dijo Erez Liebermann, fiscal asistente del distrito de Nueva Jersey. "Es una amenaza constante y una amenaza seria de la que las empresas deben preocuparse".

Los ataques a uno de los sistemas de VoIP más populares, llamados Asterisk, ahora son "endémicos", dijo John Todd, que trabaja para el producto. creador, Digium, como director de la comunidad de código abierto. "Es como robar un bate de béisbol para entrar en un automóvil. El primer paso es entrar en Asterisk".

La piratería de Asterisk comenzó a evolucionar de un problema bastante "de bajo nivel" a un problema mucho más serio en septiembre de 2008, cuando las herramientas fáciles de usar se publicaron por primera vez, dijo Todd. "Ahora hay personas que hacen videos y hay blogs y podcasts", dijo. "La información está ahí afuera."

Con estas herramientas, puede ser bastante fácil piratear un sistema VoIP golpeando el servidor diseñado para conectar el tráfico de la red de área local de la oficina a un proveedor de red como AT & T, que conecta el llamadas al resto del mundo.

El hacker intenta adivinar las contraseñas del sistema VoIP, haciendo miles de conjeturas. Mientras que un programa de Internet como Gmail bloqueará a los visitantes después de un puñado de intentos fallidos de contraseña, los sistemas de VoIP a menudo no están configurados de esta manera y, a menudo, permiten que cualquier computadora se conecte a ellos. Así que los hackers se apresuran con ellos, tratando de adivinar las extensiones de teléfono en funcionamiento. Una vez que encuentran una extensión, ejecutan su software de ataque de diccionario. Si la contraseña es fácil de adivinar, están en la red y pueden llamar gratis.

Eso es lo que le sucedió a Innovative Technologies, con sede en Wheeling, West Virginia. Fue pirateado a principios de octubre, al parecer por ciberdelincuentes rumanos que utilizaron su sistema VoIP para realizar llamadas de phishing por teléfono a los clientes de Liberty Bank, un pequeño banco regional con oficinas en California.

"Habían escaneado un montón de Direcciones IP en Internet para encontrar servidores [VoIP] ", dijo Terry Lewis, CEO de Innovative Technologies.

El 3 de octubre, Lewis comenzó a recibir mensajes de voz de clientes de Liberty que habían recibido llamadas fraudulentas. Revisó los registros de su sistema VoIP al día siguiente y descubrió que los piratas informáticos habían realizado unas 300 llamadas durante el fin de semana, no tantas llamadas que normalmente se habrían notado.

Una vez que el sistema VoIP es pirateado, los delincuentes usan es para realizar ataques de phishing basados ​​en teléfonos, a veces llamados vishing. Los ataques Vishing han existido desde hace unos años, pero en gran medida han pasado desapercibidos, ya que a menudo se dirigen a bancos regionales más pequeños en lugar de instituciones nacionales de alto perfil. Los estafadores se mueven de banco en banco cada semana después de completar sus campañas.

Según Liberty Bank, otras instituciones regionales también se han visto afectadas por los ataques de sistemas VoIP pirateados en las últimas semanas.

Liberty no mencionó a los otros bancos involucrados, pero en las últimas semanas, Union State Bank y Solvay Bank han informado fraudes similares.

Lewis tuvo suerte de no haber sido golpeado con los principales cargos telefónicos. Dependiendo de cómo estén configurados sus sistemas, las empresas pueden ser responsables de los cargos telefónicos (cargos por llamadas internacionales, por ejemplo) que surjan del incidente.

"Si alguien comienza a abusar de su sistema telefónico, usted está potencialmente en el gancho por mucho dinero ", dijo Todd de Digium.

La primera vicepresidenta de Liberty Bank, Jill Hitchman, cree que los estafadores que atacaron su banco probablemente alcanzaron entre 30 y 35 negocios y hacían entre 20,000 y 30,000 llamadas telefónicas por día. "No creo que estas compañías se den cuenta de que probablemente van a recibir cargos", dijo Hitchman. "El problema más importante es cómo se accede a estos sistemas telefónicos y por qué no podemos detenerlos".

Solo unos pocos clientes de Liberty cayeron en la trampa, dijo Hitchman, pero los atacantes sabían lo que estaban haciendo. Primero se inscribirían en cuentas de AOL para comprobar que los números de las tarjetas funcionaban. Debido a que AOL ofrece membresías de prueba gratuitas, estos cargos no aparecen durante meses. En ese momento, los estafadores pusieron la información en tarjetas de cajero automático falsas y vacían las cuentas bancarias.

Las empresas podrían evitar muchos de estos ataques cambiando el puerto que usan para las conexiones del protocolo de inicio de sesión (SIP) en sus sistemas de VoIP. al bloquear conexiones después de cierto número de fallas y simplemente al usar mejores contraseñas en sus sistemas de voz, dicen los expertos en seguridad.

El problema es que para la mayoría de las pequeñas y medianas empresas, la seguridad no es una prioridad. "Las personas se preocupan más por si sus conferencias telefónicas tendrán una calidad telefónica decente", dijo Rodney Thayer, director de tecnología de la compañía de seguridad VoIP Secorix.

No piensan que sus sistemas VoIP sean vulnerables a ataques de Internet. como servidores web o de correo electrónico, y eso es un error, dijo Thayer. "Lo piensan como un sistema diferente, y no lo es", dijo. "Es todo lo mismo, todos los datos pasan por una red".