Киберкриминалисты «Информзащиты» расследовали взлом телефонной сети государственной промышленной компании. Эксперты предупреждают, что IP-телефония, которая реализована практически в каждой организации, слишком открыта для атак злоумышленников.
Использование IP-телефонии в корпоративном сегменте позволяет сэкономить на телефонных переговорах сотрудников. Однако мошенники, захватив телефонную сеть компании, могут легко обеспечить как утечку конфиденциальных разговоров, так и появление лишних нулей в счете за связь.
Мошенничество с IP-телефонией основывается на взломе корпоративных автоматических телефонных станций, работающих по общедоступным протоколам SIP. Задача атакующих – путем подбора логина и пароля получить доступ к телефонной сети, чтобы использовать ее в собственных целях. На этапе развертывания систем IP-телефонии учетным записям для протокола SIP, как правило, присваиваются простые пароли. Это делается для удобства внутреннего использования системы. Однако следует помнить, что использование простых паролей часто приводит к печальным последствиям. Так, в изученном инциденте, злоумышленники смогли за короткое время получить доступ к корпоративной телефонной сети.
Можно выделить два направления таких атак: первое – прослушивание звукового трафика с целью шпионажа, второе – совершение несанкционированных междугородних и международных звонков на привилегированные номера с целью монетизации. В нашем случае произошел второй вариант мошенничества: злоумышленники арендовали у оператора сотовой связи премиальные номера и совершали на них дорогостоящие звонки с телефонов взломанной компании.
Организация, для которой проводилось расследование, не имела специальных антифрод-систем или других решений для предотвращения злонамеренного использования IP-телефонии. Нелегитимную активность зафиксировал провайдер IP-телефонии, обратив внимание на нехарактерное поведение клиента – резкий всплеск количества международных звонков с телефонных номеров компании.
«Все звонки совершались с нескольких корпоративных телефонов. Мошенникам хватило бы и пары номеров, но они использовали больше, чтобы их не засекли сразу», – пояснил специалист «Информзащиты». Злоумышленники заранее готовились к атаке, предварительно рассчитав удачное время для ее проведения. Несанкционированные звонки начали поступать в выходные дни, когда, во-первых, трафик был свободен от активности сотрудников, а, во-вторых, на рабочих местах отсутствовал технический персонал.
IP-телефония — один из простых векторов атак, который позволит злоумышленникам монетизировать ресурсы компании или проникнуть дальше в ее инфраструктуру. Взлом IP настроек осуществим путем несложных манипуляций, значит, специалисты по кибербезопасности должны быть начеку. Рецепт защиты укладывается в общие принципы информационной безопасности: устойчивые пароли, обновление софта и оборудования, ежедневный анализ журнала вызовов за пределы организации (биллинг), разрешать звонки за пределы организации только определенной группе лиц, которой это необходимо. Ну и, конечно, иметь под рукой контакты специалистов по расследованию киберинцидентов. На всякий случай.