3 minute read
Voorkom PBX-hack
from TBM 04/2015
Met ‘Phreaking’ - het hacken van telefoonsystemen - is nog steeds veel te verdienen. De verliezen als gevolg van wereldwijde communicatiefraude zijn naar schatting vier keer zo hoog als die door fraude met creditcards. Alcatel Lucent Enterprise geeft tips voor preventie.
Preventietips tegen Telefoon-hacks
Advertisement
Het hacken van telefoons is een criminele activiteit die fors in de papieren loopt. Volgens schattingen van de Communications Fraud Control Association (CFCA) liggen de verliezen als gevolg van fraude door het hacken van PBX-centrales rond de 4,4 miljard dollar. Criminele organisaties breken in het systeem in en maken hoge kosten met internationale telefoongesprekken of betaalnummers die ze onder controle hebben. Bedrijven blijken hun netwerken en pc’s goed tegen geavanceerde aanvallen beschermen. Wat betreft hun communicatieoplossingen zijn ze echter vaak zeer kwetsbaar.
De kosten kunnen behoorlijk oplopen, aangezien bij dit type fraude geen onderscheid wordt gemaakt tussen grote en kleine bedrijven. Nu het gebruik van VoIP in bedrijven snel toeneemt, liggen er talloze kansen voor hackers. Volgens het onderzoek van de CFCA zijn de kosten als gevolg van fraude sinds 2011 met 15 procent gestegen.
Het visitekaartje van de fraudeur
Hackers vallen aan via poortscans, eenvoudige en ‘brute’ technologie, of via subtielere social-engineering-technieken. Organisaties merken meestal pas dat ze slachtoffer van fraude zijn geworden wanneer ze de telefoonrekening zien. Belangrijke signalen om alert op te zijn, zijn: een groot aantal internationale telefoongesprekken vanaf dezelfde interne telefoon, een piek van internationale gesprekken buiten kantooruren naar een land waar het bedrijf geen zaken mee doet of een waarschuwing van de telefonist die meerdere korte telefoongesprekken naar een betaalnummer constateert.
Risicobeoordeling
Oudere systemen, een verouderd beveiligingsbeleid en een onzorgvuldige configuratie, vooral wanneer VoIP-telefoons in het netwerk zijn geïntegreerd, zijn de drie belangrijkste risicofactoren die vaak over het hoofd worden gezien door bedrijven. Deze stellen hen echter direct bloot aan de zeer reële risico’s dat hun telefooncentrale wordt gehackt en er fraude met telefoonkosten wordt gepleegd.
Hoe stelt u vast dat een klant van u kwetsbaar is? Hieronder volgt een goede controlelijst. Als een van deze vragen met ‘ja’ beantwoord moet worden, loopt het bedrijf risico: 1. Zijn dezelfde systeemwachtwoorden al meer dan een jaar in gebruik? 2. Gebruiken eindgebruikers standaardwachtwoorden voor voicemail? 3. Zijn er modems op de communicatieserver aangesloten? 4. Hebben alle eindgebruikers toegang tot internationale nummers? 5. Worden telefoniediensten aangeboden aan gebruikers buiten het bedrijf? 6. Zijn er onlangs personeelswisselingen geweest in het systeembeheerteam?
Preventie en bescherming
Het is precies om die reden dat bedrijven zoals Alcatel-Lucent Enterprise controlediensten ter voorkoming van telefoonkostenfraude aanbieden om bedrijven te assisteren met het invoeren van best practices en beschermingsmechanismen om de meeste scenario’s met telefoonkostenfraude te voorkomen. Dit zijn de belangrijkste in te voeren ‘best practice’-elementen om fraude met telefoonkosten te beperken:
Organisaties moeten goede controles invoeren – gebruik sterkere wachtwoorden en evalueer het wachtwoordenbeleid. Stel gespreksblokkeringsregels in om uitgaande gesprekken te beperken tot kantooruren, voer een wachtwoordbeveiliging in voor internationale gesprekken of betaalnummers en voer extra doorverbindings- en doorschakelingsbescherming in. Het is ook belangrijk om de verantwoordelijkheden en beheersrechten van werknemers te onderzoeken.
Zorg dat softwareversies en beveiligingspatches actueel zijn – houd softwareversies actueel. Versterk oplossingen door best practices op het gebied van beveiliging te hanteren en installeer altijd de nieuwste beveiligingspatches van leveranciers. Houd er echter rekening mee dat hackers zich ontwikkelen. U moet met hen meegroeien, dus daarom is het essentieel om regelmatig te evalueren of systemen kwetsbaar zijn voor fraude.
Vergroot het interne bewustzijn – leid werknemers van uw klanten op in elementaire beveiligingsmaatregelen, de juridische en financiële risico’s van fraude en hun plichten en verantwoordelijkheden. Herinner hen aan de vertrouwelijkheidsregels en dat ze moeten oppassen dat ze geen technische details over het communicatiesysteem aan anderen doorgeven. Soms is het ook nuttig om interne bewustwordingscampagnes op het gebied van fraude op te zetten zodat medewerkers ongebruikelijke activiteit of gedrag met betrekking tot telefoniediensten melden.
Fraude met telefoonkosten is een steeds grotere bedreiging. Door deze eenvoudige stappen te nemen, wordt het fraudeurs echter veel lastiger gemaakt en wordt ervoor gezorgd dat de communicatiesystemen bij uw klanten geen gemakkelijk doelwit zijn.
