คนได้พบแผ่นเปิดตัวใหม่สำหรับการหลอกลวงของพวกเขาระบบโทรศัพท์ของธุรกิจขนาดเล็กและขนาดกลางทั่วสหรัฐอเมริกา

ผู้ที่ตกเป็นเหยื่อมักเป็นธนาคารกับสถาบันในภูมิภาคที่มีขนาดเล็กซึ่งมักมีทรัพยากรน้อยกว่าในการตรวจจับการหลอกลวง scammers สับเข้าระบบโทรศัพท์แล้วโทรหาผู้ที่ตกเป็นเหยื่อเล่นข้อความที่อัดแล้วซึ่งบอกว่ามีข้อผิดพลาดในการเรียกเก็บเงินหรือเตือนว่าบัญชีธนาคารถูกระงับเนื่องจากมีกิจกรรมที่น่าสงสัย หากลูกค้ากังวลเข้าหมายเลขบัญชีและรหัสผ่าน ATM คนร้ายใช้ข้อมูลดังกล่าวเพื่อทำบัตรเดบิตปลอมและล้างบัญชีธนาคารของเหยื่อที่หมดอายุ

[อ่านเพิ่มเติม: กล่อง NAS ที่ดีที่สุดสำหรับสตรีมมิงสื่อและการสำรองข้อมูล]

แฮกเกอร์ ทำให้พาดหัวข่าวเกี่ยวกับการบุกเข้าสู่ระบบ บริษัท โทรศัพท์กว่า 20 ปีที่ผ่านมาซึ่งเป็นระบบที่เรียกว่า phreaking แต่เนื่องจากระบบโทรศัพท์แบบเดิมได้รวมเข้ากับอินเทอร์เน็ตแล้วจะสร้างโอกาสใหม่ ๆ ในการฉ้อฉลซึ่งเพิ่งเริ่มต้นเท่านั้น เข้าใจว่า

การแฮ็กผ่าน VoIP (voice over Internet Protocol) เป็น "พรมแดนใหม่ในโลกแบบครอสโอเวอร์ของเทเลคอมและไซเบอร์ (อาชญากรรม)" Erez Liebermann ผู้ช่วยอัยการสหรัฐฯประจำเขตมลรัฐนิวเจอร์ซีย์กล่าว การโจมตีหนึ่งในระบบ VoIP ที่เรียกว่า Asterisk ซึ่งเป็นที่แพร่หลายมากที่สุดคือตอนนี้เป็น "เฉพาะถิ่น" กล่าวโดย John Todd ซึ่งทำงานให้กับผลิตภัณฑ์นี้ ผู้สร้างสรรค์ Digium ในฐานะผู้อำนวยการชุมชนโอเพนซอร์ส "เหมือนการขโมยไม้ตีเบสบอลเข้ามาในรถขั้นตอนแรกคือการเจาะเข้าไปในเครื่องหมายดอกจัน"

การเจาะระบบ Asterisk เริ่มมีการพัฒนาจาก "ปัญหาระดับต่ำ" อย่างเป็นธรรมไปสู่ปัญหาที่รุนแรงมากขึ้นในช่วงเดือนกันยายน 2008, เมื่อเครื่องมือที่ง่ายต่อการใช้งานได้รับการตีพิมพ์ครั้งแรกทอดด์กล่าวว่า "มีคนทำวิดีโออยู่แล้วและมีบล็อกและพอดคาสต์อยู่" เขากล่าว "ข้อมูลจะออกไปที่นั่น"

ด้วยเครื่องมือเหล่านี้การสับระบบ VoIP ทำได้ง่ายโดยการกดปุ่มเซิร์ฟเวอร์ที่ออกแบบมาเพื่อเชื่อมต่อการเข้าชมจากเครือข่ายท้องถิ่นของสำนักงานไปยังผู้ให้บริการเครือข่ายเช่น AT & T ซึ่งเชื่อมต่อเครือข่าย แฮกเกอร์พยายามจะคาดเดารหัสผ่านของระบบ VoIP ซึ่งทำให้หลายพันคนเดาได้ ในขณะที่โปรแกรมอินเทอร์เน็ตเช่น Gmail จะบล็อกผู้เข้าชมหลังจากที่คาดเดารหัสผ่านไม่สมบูรณ์ระบบ VoIP มักไม่ได้รับการกำหนดค่าด้วยวิธีนี้และมักจะอนุญาตให้คอมพิวเตอร์ใด ๆ เชื่อมต่อกับพวกเขา แฮกเกอร์จึงไปหาพวกเขาพยายามคาดเดานามสกุลโทรศัพท์ที่ทำงาน เมื่อพวกเขาพบส่วนขยายพวกเขาเรียกใช้ซอฟต์แวร์โจมตีพจนานุกรมของพวกเขา หากรหัสผ่านง่ายต่อการคาดเดาพวกเขาอยู่ในเครือข่ายและสามารถโทรศัพท์ออกได้ฟรี

นั่นคือสิ่งที่เกิดขึ้นกับ Innovative Technologies ซึ่งตั้งอยู่ที่เมือง Wheeling รัฐเวสต์เวอร์จิเนีย ถูกแฮ็กในช่วงต้นเดือนตุลาคมโดยอาชญากรไซเบอร์ในโรมาเนียที่ใช้ระบบ VoIP เพื่อโทรศัพท์ฟิชชิ่งไปยังลูกค้าของ Liberty Bank ซึ่งเป็นธนาคารในภูมิภาคขนาดเล็กที่มีสำนักงานในรัฐแคลิฟอร์เนีย

"พวกเขาได้สแกนกลุ่มทั้งหมด ที่อยู่ IP บนอินเทอร์เน็ตเพื่อหาเซิร์ฟเวอร์ [VoIP] "เทอร์รี่ลูอิสซีอีโอของ Innovative Technologies กล่าวเมื่อวันที่ 3 ตุลาคมลูอิสเริ่มรับข้อความเสียงจากลูกค้าของลิเบอร์ตี้ซึ่งได้รับโทรศัพท์จากการหลอกลวง เขาตรวจสอบระบบ VoIP ของเขาในวันรุ่งขึ้นและพบว่าแฮ็กเกอร์ทำสายโทรศัพท์ได้ประมาณ 300 ครั้งในช่วงสุดสัปดาห์ - ไม่มากนักที่จะได้รับโทรศัพท์ตามปกติแม้จะมีการพบเห็น

เมื่อระบบ VoIP ถูกแฮ็กแล้วอาชญากรก็ใช้ เพื่อดำเนินการโจมตีฟิชชิ่งทางโทรศัพท์ซึ่งบางครั้งเรียกว่า vishing การโจมตีของ Vishing เกิดขึ้นมาประมาณสองถึงสามปีแล้ว แต่ส่วนใหญ่มีการดำเนินการภายใต้เรดาร์เนื่องจากมักมุ่งเน้นไปที่กลุ่มธนาคารในภูมิภาคที่มีขนาดเล็กมากกว่าสถาบันระดับประเทศ นักสแกมเมอร์ย้ายจากธนาคารไปยังธนาคารทุกสัปดาห์หลังจากเสร็จสิ้นแคมเปญของพวกเขา

Liberty Bank ระบุว่าสถาบันการเงินอื่น ๆ ในภูมิภาคนี้ได้รับผลกระทบจากระบบ VoIP ที่ถูกแฮ็กในช่วงไม่กี่สัปดาห์ที่ผ่านมา

ลิเบอร์ตี้ไม่ได้ให้ชื่อธนาคารอื่นที่เกี่ยวข้อง แต่ในช่วงหลายสัปดาห์ที่ผ่านมา Union State Bank และ Solvay Bank ได้รายงานการหลอกลวงที่คล้ายกัน

Lewis โชคดีที่เขาไม่ได้โดนค่าโทรศัพท์ที่สำคัญ ขึ้นอยู่กับว่าระบบของพวกเขามีการกำหนดค่าธุรกิจจะต้องรับผิดชอบต่อค่าโทรศัพท์ใด ๆ เช่นค่าโทรศัพท์ระหว่างประเทศเป็นต้นซึ่งเกิดขึ้นจากเหตุการณ์ที่เกิดขึ้น

"ถ้ามีคนเริ่มใช้กำลังกับระบบโทรศัพท์ของคุณ hooking for many money "ของ Digium Todd กล่าวว่า

รองประธานาธิบดีคนแรกของ Liberty Bank Jill Hitchman เชื่อว่า scammers ที่กำหนดเป้าหมายไปที่ธนาคารของเธอน่าจะอยู่ระหว่าง 30 ถึง 35 ธุรกิจและทำระหว่าง 20,000 ถึง 30,000 โทรศัพท์ต่อวัน "ฉันไม่คิดว่า บริษัท เหล่านี้ตระหนักว่าพวกเขากำลังจะได้รับค่าใช้จ่าย" Hitchman กล่าว "ปัญหาใหญ่คือระบบโทรศัพท์เหล่านี้เข้าถึงได้อย่างไรและเหตุใดเราจึงไม่สามารถหยุดยั้งได้?"

ลูกค้าของลิเบอร์ตี้เพียงไม่กี่คนเท่านั้นที่ตกอยู่ในการหลอกลวง Hitchman กล่าว แต่ผู้บุกรุกรู้ว่ากำลังทำอะไรอยู่ ก่อนอื่นพวกเขาจะลงชื่อสมัครใช้บัญชี AOL เพื่อทดสอบว่าหมายเลขบัตรใช้งานได้ดี เนื่องจาก AOL มีสมาชิกทดลองฟรีค่าใช้จ่ายเหล่านี้จะไม่ปรากฏเป็นเวลาหลายเดือน เมื่อถึงเวลานั้น scammers ได้วางข้อมูลเกี่ยวกับบัตร ATM ปลอมและล้างข้อมูลบัญชีธนาคาร

ธุรกิจสามารถป้องกันการโจมตีจำนวนมากได้โดยการเปลี่ยนพอร์ตที่ใช้สำหรับการเชื่อมต่อ Session Initiation Protocol (SIP) โดยการปิดกั้นการเชื่อมต่อหลังจากความล้มเหลวบางอย่างและโดยการใช้รหัสผ่านที่ดีกว่าในระบบเสียงของพวกเขาผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่า

ปัญหาคือสำหรับธุรกิจขนาดเล็กและขนาดกลางส่วนใหญ่การรักษาความปลอดภัยไม่ได้เป็นเพียงสิ่งที่สำคัญ "คนให้ความใส่ใจมากขึ้นว่าการประชุมทางโทรศัพท์ของพวกเขาจะมีคุณภาพที่ดีหรือไม่" ร็อดนี่ย์เออร์หัวหน้าฝ่ายเทคโนโลยีของ บริษัท ด้านความปลอดภัย VoIP Secorix กล่าวว่า "พวกเขาไม่ได้คิดถึงระบบ VoIP ของตนว่าเสี่ยงต่อการโจมตีทางอินเทอร์เน็ตเพียงอย่างเดียว เช่นเว็บหรือเซิร์ฟเวอร์อีเมลและนั่นเป็นความผิดพลาด Thayer กล่าว "พวกเขาคิดว่ามันเป็นระบบที่แตกต่างออกไปและก็ไม่ใช่" เขากล่าว "ข้อมูลทั้งหมดเป็นข้อมูลเดียวกันข้อมูลทั้งหมดจะถูกส่งผ่านเครือข่าย"