Funcionalidades mas vulnerables (Fraudes)

Funcionalidades mas vulnerables
Como minimizar los riesgo de ser defraudados
Como disminuir el riesgo de fraudes
El uso continuo de telefonía nos expone a diversos tipos de fraudes que pueden afectar
nuestra economía, como empresario le recomendamos que tenga en cuenta los riesgos
que le explicamos a continuación para que evite ser víctima de ellos.
Funcionalidades más vulnerables
Funcionalidad DISA (Direct Inward System Access): Esta funcionalidad permite que se
puedan hacer llamadas accediendo desde una línea externa. El riesgo está en que sino
se tienen una buena programación y políticas de seguridad queda abierta la posibilidad
de que cualquier persona conozca el manejo de los códigos de acceso a las troncales del
sistema, así se podrán realizar llamadas que serán cobradas a la empresa.
Para evitar el riesgo de fraudes, los sistemas tienen códigos por defecto que deben ser
cerrados o se deben habilitar códigos personalizados para cada uno de los usuarios
autorizados por la compañía para realizar este tipo de llamadas.
En este caso las posibilidades de fraude aumentan con:
Inadecuada definición de políticas de códigos secretos sobre el sistema.
NO obligación de cambio de clave cada determinado tiempo.
Claves genéricas.
Fuga de Información por parte de los empleados, administradores del sistema
y/o personal de manteniendo de la misma, que realizan un mal uso de la
información compartiendo las claves y accesos.
Ingeniería social: se denomina así a la práctica que permite obtener información
confidencia a través de la manipulación de usuarios, estrategia usada para sacar
información de fuentes humanas.
En los sistemas telefónicos IP, hay un gran riesgo de fraude, ya que se encuentran
conectados a una red mundial, y son fácilmente vulnerados debido a que el atacante
busca errores en los sistemas que se encuentran en red, para luego acceder a la
configuración del sistema, de este modo puede visualizar claves e información sobre el
funcionamiento, puede realizar modificaciones, acceder a los sistemas y usarlos
indiscriminadamente.
Negación de servicio: Estos ataques, se basan en saturar de alguna manera la máquina
que está prestando el servicio, para que esta no pueda seguirlo prestando normalmente,
los sistemas afectado por esto son los IP, las dos formas más comunes de saturar una
maquina son:
1. Redireccionamiento de extensiones de empleados a destinos móviles, larga
distancia nacional e internacional con cargo a la empresa:
Este fraude, por lo general se hace con complicidad de personal que tiene acceso
a los recursos de la empresa, direccionado su teléfono a un destino de larga
distancia nacional, internacional o móvil para la realización de llamadas de
terceros a estos destinos.
Generar una serie muy grande de falsos requerimientos de servicio para que la
máquina no tenga recursos suficientes para atender los verdaderos
requerimientos de servicio.
Generar requerimientos mal hechos que generen fallas en el protocolo y este se
bloquee o se reinicie para recuperar su funcionalidad.
2. Servicio de atención automática – activación marcación en dos etapas:
Existen algunos sistemas de atención automática en los cuales, a través de ciertas
opciones, se accede al tono de marcado y se activa la funcionalidad de marcación
en dos etapas.
Si el sistema no está apropiadamente configurado, el servicio de atención
automática pasa la llamada de regreso al PBX como una solicitud de tono de
marcado y deja al defraudador en posibilidad de realizar llamadas a cualquier
lugar y con cargo a la compañía propietaria del PBX.
Algunos de las opciones más utilizadas por los defraudadores son:
#0
0
#9
9
90 #
# 1234 #
83
Mantenimientos remotos
Transferencia de llamadas a los números de operadoras 151 - 159, 171 - 179 y 191 199:
IVR (Interactive Voice Response ): Algunos proveedores realizan la configuración del
sistema por vía telefónica o remota. Este es un procedimiento normal, pero en algunos
casos el MODEM que se activa para esto no es apagado en el momento de finalizar la
programación, y queda el riesgo de que el personal técnico, con este conocimiento,
continúe entrando a la planta y realice llamadas o cambios en la configuración para su
beneficio. Este tipo de casos también se presentan a través de mantenimiento o soporte
virtual (acceso a través de las redes de Internet o corporativas, VPNs, etc.).
La herramienta de habilitar casilleros para mensajes de voz, ofrece, además de eficiencia
en las comunicaciones de una empresa, servicio para sus clientes.
Desafortunadamente, los buzones son usualmente atacados por los defraudadores,
debido a que esta funcionalidad permite en algunos casos realizar llamadas de regreso
(call back) al número telefónico que dejó el mensaje. Estas llamadas pueden ser locales,
de larga distancia nacional o internacional o a teléfonos móviles. Sin una correcta
programación, alguien se podría apoderar de los buzones de voz cambiándoles las
claves de acceso originales.
IVR es una poderosa plataforma de desarrollo de aplicaciones telefónicas, que permite
diseñar, integrar, implementar y administrar sistemas de respuesta interactiva de voz.
Esta plataforma permite el manejo de voz, fax, acceso y escritura a bases de datos vía
ODBC o sockets, reconocimiento de voz, texto a voz y aplicaciones CTI entre otras. Así
mismo, soporta E1/T1/ISDN, VoIP, entre otros.
IVR es utilizado en empresas corporativas, bancos, casas de bolsa, universidades y
gobierno entre otros, para automatizar la atención telefónica. IVR tiene capacidad para
atender miles de llamadas al día, permitiendo a sus clientes recibir información,
consultar y modificar bases de datos, vía telefónica y transferirse con una persona,
cuando así lo requieran.
Para este tipo de sistema el fraude requiere de un grado de experticia mayor. Existen
otros sistemas como las Automatic Attendant, los IVM, que son equipos básicamente
iguales a los descritos.
Llamadas no solicitadas
El protocolo SIP puede aceptar llamadas en los endpoints sin autenticación y la facilidad
de acceder a ellos solo conociendo su IP, es un riesgo que facilita el que se hagan
barridos de direcciones buscando los puertos de SIP o h323 abiertos para enviar tráfico,
sin tener ninguna identificación del origen, ya que a diferencia de la voz convencional,
no tenemos que ser usuarios de la misma red o de una central interconectada para
enviar tráfico, en IP se puede hacer sin dejar rastro y utilizar audio grabado para que un
servidor como una ametralladora envié trafico sin dejar rastro. Para defendernos de esto
se pueden implementar listas negras o listas blancas en nuestros equipos, también
podemos usar en h323 una palabra clave para poder acceder a nuestro gatekeeper.
Para evitarlo:
• No active funciones del sistema telefónico que no vaya a utilizar, por ejemplo DISA,
buzones de voz, desvío de llamadas y acceso a servicio de operadoras.
Defina categorías, políticas internas y niveles de acceso para cierto tipo de llamadas
(LDN, LDI, móviles).
Configure su sistema para no permitir acceder a tono de discado bajo ninguna
circunstancia (marcación en 2 etapas).
Elimine o bloquee los buzones de voz que no estén en funcionamiento.
Recomiende a sus empleados cambiar la clave de los buzones de voz.
Cuelgue cuando reciba llamadas con anuncios en un lenguaje extranjero.
Tenga precaución con cualquier sistema de recepción automática de llamadas
incluyendo aquellas que han estado integradas a su red de datos (consola
automática, IVR, IVM, correo de voz con mensajería unificada).
No conecte llamadas entrantes solicitando las extensiones 151-159, 171-179 y
191-199.
Antes de aceptar asesoría y soporte para probar o configurar su sistema telefónico
por parte de personas que dicen pertenecer a las compañías telefónicas, solicite una
identificación, indague por el número de la orden de servicio o valide con la
compañía telefónica respectiva.
Pregunte a su proveedor por el modo nocturno de su planta para evitar llamadas
fuera del horario laboral.
Maneje los manuales de configuración del sistema telefónico como documentos a
los que solo debe tener acceso personal autorizado.
Establezca con su proveedor fecha y horas específicas para el mantenimiento
remoto de su sistema y confirme que el modem utilizado para el mantenimiento a
distancia o remoto sea apagado o bloqueado en el momento de finalizar el trabajo.
Incluya en los contratos de instalación y mantenimiento del sistema con terceros,
cláusulas de responsabilidad por casos de fraude o cambios no acordados.
Vigile y compruebe el trabajo de los técnicos durante y después de los trabajos de
mantenimiento.
Realice un control y seguimiento de los mantenimientos, reprogramaciones o
cambios al sistema, llevando fecha, hora y detalle de las modificaciones.
Revise la facturación periódicamente apoyándose en los reportes internos del
sistema y comparándolos con la facturación de las empresas telefónicas.
Pida a su proveedor orientación sobre lo que deben conocer sus empleados y lo que
no deben conocer del funcionamiento del sistema telefónico.
Estar al día en actualizaciones, vulnerabilidades y soluciones.
Llevar un control exhaustivo del sistema (versiones de paquetes, actualizando cada
dos por tres)
Observar los logs del sistema (comprobando los accesos y los intentos de ataques)
Evitar utilizar puertos estándares (5060, 4569, 80, 22, etc.…)
Hacer un mantenimiento continuo
Una buena “educación” que nos enseñe a programar y configurar el sistema
adecuadamente.
Un firewall, puede librarnos de muchos problemas.fi Herramientas como el
PortSentry para evitar escaneos y ataques DoS
Denegar peticiones al 5060/4569 UDP desde el exterior siempre que no tengamos
usuarios SIP/IAX externos.
Deshabilitar el “allowguest=yes” que traen algunos interfaces habilitado de serie,
DROPear cualquier paquete procedente de cualquier IP que no sea de nuestra red
de confianza.
Configurar el “realm”, “defaultuser” y el parámetro “secret” SIEMPRE.
Comprobar en el log del Asterisk los intentos fallidos de autenticación y en el
caso de varios intentos, añadir de forma automática en el IPTables la dirección
IP de nuestro ‘supuesto’ atacante.
Las direcciones IP atacantes se añaden al firewall ya existente, permitiendo “limpiar”
estas direcciones con el parámetro ‘clear‘ sin que afecte al resto de la configuración
del IPTables.
Recuerde que todos los sistemas telefónicos pueden ser blanco de estos defraudadores
y que el manejo y mantenimiento de estos equipos son de su entera responsabilidad,
conforme a lo establecido en la cláusula séptima del contrato único de condiciones
uniformes, sin embargo, si su empresa cuenta con una buena programación, con
estrictos cuidados con la seguridad y un continuo seguimiento, podrá prevenir este
riesgo.
Para una adecuada programación de su sistema telefónico, le recomendamos
asesorarse con el proveedor de su planta telefónica.