Par: Joe Davulis, ingénieur ConvergeAssure®
Comment se produit la fraude au PBX?
Les pirates obtiennent généralement un accès non autorisé à votre PBX via un port de maintenance, une messagerie vocale ou le port d’Accès direct au système (DISA). Il n’est pas rare que des pirates informatiques profitent même de lignes sans frais destinées aux employés, parfois avec des cartes d’appel volées pour couvrir leurs traces. Ils peuvent même aller jusqu’à se faire passer pour un employé valide.
Presque tous les systèmes PBX modernes sont conçus pour être gérés à distance. Bien que cette fonctionnalité à distance réduise considérablement les temps de réponse des fournisseurs, sans mesures de sécurité appropriées en place, elle pourrait potentiellement permettre une violation d’accès très coûteuse. Les pirates tenteront de tirer parti du même port de maintenance pour modifier la configuration du routage des appels, modifier les mots de passe et ajouter ou supprimer des extensions pour commettre une fraude sans interrompre les opérations commerciales. Ils peuvent même retenir la rançon de votre système en l’éteignant ou en le redémarrant au milieu de la journée.
Les systèmes de messagerie vocale ne sont pas à l’abri de l’exploitation. Certains systèmes de messagerie vocale peuvent transférer des appelants vers une ligne extérieure, et sans les mesures de sécurité appropriées en place, cette fonctionnalité peut devenir une cible privilégiée. Un pirate trouvera une boîte vocale avec un mot de passe par défaut, puis configurera la fonction d’appel sortant sur une extension interne qu’il a construite & hid, qui à son tour, transmet à une ligne extérieure qu’il peut utiliser pour passer facilement appel après appel au système et appeler un numéro 1-900 et accumuler des milliers de dollars en frais de coûts élevés dans un laps de temps extrêmement court et sans que personne ne le sache. Certains numéros peuvent avoir un coût par appel qui leur est associé allant jusqu’à 250,00 $. Ainsi, 1 appel toutes les 30 secondes pendant quelques heures peut représenter un montant dévorant. De plus, si un système ne signale pas les appels au-delà d’un laps de temps défini, un appel international peut être établi et relâché pendant plus de 12 heures vers un pays à haut risque.
Scénarios courants impliquant une fraude au PBX:
- Transfert externe – Méfiez-vous du transfert d’une personne vers une ligne extérieure vous ne reconnaissez aucun numéro avec une chaîne de chiffres inattendue (chiffre pour saisir une ligne extérieure, codes de numérotation internationaux tels que 0 ou 1, etc.)
- Transfert d’appel externe – Envisagez de verrouiller la possibilité de transférer les téléphones vers une chaîne de chiffres trop courts pour être un numéro valide, saisir une ligne extérieure ou appeler des numéros à haut risque ou appeler à l’international.
- Verrouillez la numérotation uniquement aux États-Unis et ajoutez les codes de pays uniquement au besoin. Si la numérotation internationale doit être autorisée, envisagez un code d’accès interne ou même des codes induviaux par étage / groupe d’entreprise / employé.
- Si possible, demandez aux employés de déconnecter les téléphones à la fin de la journée ou de régler une minuterie pour déconnecter les téléphones, puis de les rallumer plus tard dans la soirée, si c’est une option.
- Informez votre opérateur vocal des mesures de sécurité qu’il a mises en place pour votre compte en particulier. Il n’est pas rare que le transporteur agisse de manière réactionnaire plutôt que proactive. Les pirates peuvent profiter des services VOIP sans jamais avoir à mettre les pieds dans votre immeuble. Les bonnes questions à poser sont: Votre drapeau de transporteur appelle-t-il après un laps de temps défini; Signalent-ils les appels vers des numéros à haut risque tels que des pays de fraude internationale connus; quel est le protocole de réponse; devez-vous appeler et demander ou vous appelleront-ils; combien de temps après serez-vous contacté après qu’un drapeau a été levé à la suite d’un événement suspect?
- Soyez attentif aux appelants qui demandent à être transférés au « 9 », au « 9-0 » ou à toute autre combinaison de chiffres où ils peuvent profiter des installations d’appel sortant de votre PBX.
- Si vous manquez un appel, assurez-vous de poser d’abord des questions. Le dernier exploit s’appelle « fraude à 1 anneau ». Les pirates vous appelleront et raccrocheront avant que vous ne puissiez répondre. Sachez à qui vous rappelez, vous pouvez encourir des tarifs de numérotation internationaux ou même percevoir des frais d’appel. Faites attention à la longueur du numéro de téléphone, il peut souvent sembler que quelqu’un de l’indicatif régional 232 ou 809 vient de vous appeler, mais si vous regardez de plus près, vous remarquerez que le numéro est éteint d’un chiffre environ et que si vous rappeliez ce numéro, vous vous connecteriez à Sierra Leonne ou à la République dominicaine.
Protection de votre PBX:
Verrouillez le port administrateur/maintenance des systèmes de messagerie vocale du téléphone &. La plupart des pirates savent qu’une simple recherche Google fournira le nom d’utilisateur et les mots de passe par défaut de votre système téléphonique. Une fois connectés, ils couvrent généralement leurs traces lorsqu’ils exploitent votre équipement, ce qui rend la détection de l’activité frauduleuse encore plus longue.
- Obtenez des livres blancs du fabricant et n’autorisez que les ports nécessaires sur le réseau.
- Restez à jour avec les correctifs dans les versions logicielles actuelles, les service packs, les correctifs & firmware du téléphone.
- Lorsqu’une extension n’est plus nécessaire, implémentez une meilleure pratique de désactivation de la ligne.
- N’utilisez pas les mots de passe par défaut du système.
- N’autorisez pas les numéros de téléphone à haut débit ou les codes de pays internationaux spécifiques jusqu’à ce que cela soit nécessaire.
- Tirez parti de la journalisation des appels & pour des scénarios d’appels personnalisés avec des alertes de notification.
- Restreindre ou refuser DISA – cela permettrait à un utilisateur d’appeler à partir d’un emplacement distant et de composer dans le système comme s’il était présent localement.
- Ne publiez pas de liste DID sur Internet.
- Planifiez des contrôles d’intégrité de routine avec votre fournisseur pour examiner les journaux d’alarme en cas de tentatives d’accès non autorisées.
Protection de votre système de messagerie vocale:
- N’utilisez pas de mots de passe par défaut.
- Restreindre la fonctionnalité de transfert d’appel externe. Lorsqu’un pirate accède à une boîte vocale spécifique, il peut modifier le type de transfert et se permettre de transférer des appels à l’international ou vers des numéros à haut débit.
- Empêchez les préposés automatiques et les menus pilotés par la voix de demander une ligne extérieure.
- Désactive automatiquement les comptes de messagerie vocale après 3 tentatives de connexion infructueuses.
- Planifiez des contrôles d’intégrité de routine avec votre fournisseur pour examiner les journaux d’alarme en cas de tentatives d’accès non autorisées.
Lors de la sécurisation de vos systèmes, tenez compte de l’accès à distance, de la réception automatique, de la sécurité des ports, de la messagerie vocale, de l’accès à l’administration et à la maintenance. Les systèmes PBX compromis contribuent à 4,96 milliards de dollars de fraude par an. Seriez-vous en mesure d’absorber une facture supplémentaire de plus de 10 000,00 bill en un seul mois?
Une simple évaluation du site peut suffire à vous rassurer en sachant que votre système est correctement verrouillé. Contactez-nous dès aujourd’hui pour vous assurer que la solution vocale adaptée à votre entreprise est en place ou à votre disposition.