Allarme FireEye: il forte utilizzo di reti VoIP nel lavoro da remoto ha visto anche una crescita delle minacce informatiche che lo colpiscono. Questo incremento è stato rilevato e riportato da molte aziende del settore che hanno dichiarato che l’utilizzo del VoIP e delle video conferenze è aumentato del 210-285% dall’inizio della pandemia. Sia che i sistemi VoIP, siano gestiti internamente o che siano esternalizzati, restano comunque un’estensione dell’azienda. Pertanto fanno parte del perimetro potenzialmente esposto ad attacchi cyber.
I sistemi VoIP sono vulnerabili a diverse tipologie di minacce, tra cui gli attacchi denial-of-service, il furto dei metadati, l’intercettazione del traffico e le truffe basate su numeri a tariffazione speciale, i cosìddetti numeri premium. Gli aggressori possono fare leva su un sistema VoIP non sicuro come punto di ingresso per poi compromettere le reti più critiche. Oppure per distogliere l’attenzione del team di sicurezza da altre attività malevole perpetrate nello stesso momento. Nonostante queste vulnerabilità i sistemi VoIP non ricevono molta attenzione da parte dei reparti IT.
Le minacce informatiche colpiscono le reti VoIP
Eppure questi sistemi che contengono credenziali di default o usano utenze condivise sono spesso trascurati. Soprattutto quando si tratta di installazione di aggiornamenti e di applicazione delle patch per le vulnerabilità. Quindi, anche se l’infrastruttura VoIP gioca un ruolo chiave nell’operatività di molte aziende, il problema alla base è sapere se ci sono attività malevole sulla rete VoIP o meno.
Mandiant Threat Intelligence ha rilevato che spesso gli aggressori provano ad accedere agli account di amministrazione dei sistemi VoIP attraverso furti di credenziali o attraverso brute-force. Questi strumenti di attacco alle credenziali sono ampiamente disponibili e questo significa che gli aggressori, anche senza competenze particolarmente sofisticate, possono compromettere un’infrastruttura VoIP.
L’obiettivo dei metadati e il furto di messaggi vocali
I sistemi VoIP generano registrazioni vocali e metadati (e.g. informazioni ad esempio su “chi ha chiamato chi”) che sono spesso l’obiettivo sia degli aggressori dediti allo spionaggio sia sono di interesse per gli aggressori mossi da motivazioni economiche.
Le minacce informatiche colpiscono le reti VoIP. Truffa dei numeri premium
Le truffe “Call Pumping” sono una delle minacce più comuni per le aziende e si basano su sistemi VoIP compromessi. Queste truffe possono costare alle aziende colpite milioni di dollari per chiamate illegittime a numeri premium, il che rende questo metodo molto interessante dal punto di vista degli aggressori.
Denial-of-Service telefonico
I sistemi di telefonia VoIP sono vulnerabili agli attacchi Telephony DoS, in cui un grande numero di chiamate illegittime impedisce il passaggio di chiamate legittime. I sistemi VoIP sono potenzialmente esposti a attacchi di denial-of-service diversi tra cui l’essere sommersi da richieste di “invite”, messaggi di “goodbye” o “unavailable” o simili attacchi di flooding. Questa tecnica è molto diffusa e difficile da non rilevare. Questo può essere vantaggioso per gli attaccanti in quanto questi sistemi possono essere utilizzati come misure diversive per sovraccaricare il team di sicurezza aziendale. Mentre gli aggressori si dedicano parallelamente ad altre attività fraudolente.
Le minacce informatiche colpiscono le reti VoIP. Manipolazione delle chiamate
Un attacco man-in-the-middle (MitM) di successo consente la manipolazione delle chiamate e può essere utilizzato per facilitare quasi tutte le attività di social engineering tramite telefono, incluso il vishing (phishing basato sulla voce). Oppure per bypassare certi metodi di autenticazione basati sul telefono. Un hacker potrebbe anche reindirizzare una chiamata da parte di un istituto finanziario a un cliente per autorizzare una transazione impersonando il cliente stesso.
Estorsione: il futuro dello sfruttamento del VoIP?
La compromissione dell’infrastruttura VoIP può fornire l’accesso a informazioni aziendali critiche e può permettere l’esecuzione di attacchi di denial-of-service. Gli aggressori hanno storicamente utilizzato l’accesso alle informazioni come sistema di estorsione. Questo lo si è visto con l’uso da parte degli attaccanti di siti web pubblici per la divulgazione dei dati delle vittime di ransomware. Anche il furto di grandi volumi di dati sulle telefonate può essere soggetto a estorsione. Inoltre la trascrizione e l’elaborazione automatica di file audio potrebbe aiutare gli aggressori a identificare più rapidamente i dati aziendali critici.
Minacce informatiche reti VoIP. Considerazioni sulla prevenzione
L’azione migliore che un’azienda possa fare per prevenire i rischi legati al VoIP è considerarne l’infrastruttura come parte della superficie di attacco, indipendentemente dal fatto che sia gestita all’interno o da terzi.
Per proteggere le reti VoIP servono diverse attenzioni, tra cui:
- Il firmware per i telefoni VoIP e per le relative infrastrutture devono essere patchate con regolarità e le password devono essere modificate rispetto a quelle predefinite;
- L’autenticazione multifattore dovrebbe essere sempre necessaria per accedere agli account VoIP, specialmente quelli con privilegi amministrativi;
- Le chiamate ai numeri internazionali o ai numeri premium possono essere limitate per eliminare i pericoli del “Call Pumping”. Elementi quali la durata, la frequenza e il tempo trascorso devono essere monitorati per individuare eventuali anomalie e pattern di abusi;
- Collocare i telefoni VoIP su una rete separata può impedire che un telefono compromesso venga usato per accedere al altre reti o sistemi;
- Le organizzazioni dovrebbero avere un piano per i metodi di comunicazione alternativi nel caso in cui i sistemi VoIP non siano disponibili, siano queste interruzioni dovute ad attività Telephony-DoS o altri scenari denial-of-service come ransomware o malware distruttivi.
Minacce informatiche reti VoIP
La pandemia ha costretto al lavoro da casa più persone che mai prima d’ora. Questo scenario ha spinto l’incremento dell’utilizzo del VoIP durante questo periodo e ha ricordato quanto la maggior parte della popolazione dipenda dalla connettività globale. Gli aggressori possono cogliere questa dipendenza per danneggiare il business, distrarre dal lavoro i team di incident response e dei team di sicurezza o per trarre profitto dalle frodi telefoniche.