Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : les cas avérés de fraudes téléphoniques sont toujours aussi nombreux

février 2012 par CERT-XMCO

- Date : 24 Février 2012

- Criticité : Élevée

- Description :
L’émergence des solutions ToIP (Telephony over Internet Protocol), constatée
auprès des entreprises ces dernières années, élargit le spectre des menaces
auxquelles sont confrontés les environnements téléphoniques.

Bien qu’ils ne soient pas toujours couverts, les risques d’écoute
malveillante, de rupture de service ou d’intrusion sur les ressources
téléphoniques sont aujourd’hui fréquemment relayés par les médias et de plus
en plus connus des intervenants impliqués. Toutefois, ces nouvelles
plateformes ToIP sont également toujours concernées par les menaces propres
aux environnements analogiques, au premier rang desquelles se trouve la
fraude.

Le premier exemple, rapporté par l’article d’Infosec Island, présente le cas
d’une entreprise ayant été victime d’une fraude téléphonique à grande
échelle. Les pirates ont exploité une erreur de configuration au niveau de
la passerelle (communément appelée Media Gateway) faisant le lien entre
l’infrastructure du client et celle de son opérateur téléphonique pour
établir des appels "longue distance". Alertée par son opérateur,
l’entreprise victime de la fraude a dû supporter une surfacturation
d’environ 30 000 ¤ euros en 10 jours.
Ce scénario, comme la majorité des malversations du même type, n’est pas
caractéristique des plateformes ToIP puisqu’il concerne également les
systèmes téléphoniques traditionnels.

Cependant, les techniques employées par les pirates évoluent pour prendre en
considération les nouvelles technologies déployées. Ainsi, le second cas
reporté par ViperLab fait état d’une attaque à l’encontre d’un SBC (Session
Border Controller). Ces composants sont généralement déployés pour
interconnecter des infrastructures ToIP en s’affranchissant des liens
analogiques. L’intégralité des connexions est alors effectuée en IP. En tant
que passerelle, de nombreux SBC sont publiquement accessibles depuis
Internet. L’exemple décrit dans l’article précise que les pirates ont
exploité une erreur de configuration au niveau du SBC et du PABX afin
d’établir des appels internationaux, principalement à destination de la
Mauritanie. De façon analogue au cas précédent, la victime a été prévenue de
la fraude par son opérateur téléphonique.

Les pirates sont en permanence à la recherche d’équipements téléphoniques
vulnérables qui leur permettent de réaliser des appels sans avoir à en
supporter la majeure partie du coût. Ils en dégagent ensuite un bénéfice
financier en revendant ces minutes d’appels. Ils peuvent également en tirer
un profit en établissant des appels vers des numéros surtaxés en leur
possession.

Outre les mesures de sécurisation destinées à couvrir les risques d’écoute,
de déni de service et d’intrusion, il est fortement recommandé d’être
vigilant vis-à-vis de la configuration des équipements téléphoniques. Ces
derniers doivent faire l’objet d’un durcissement qui peut être complété par
un audit en vue d’identifier les risques résiduels. Ces mesures ne ciblent
pas uniquement les serveurs ToIP mais visent également les terminaux
déployés, parmi lesquels les équipements mobiles tels que smartphones ou
tablettes tiennent une place de choix.

Par ailleurs, les exemples présentés ici démontrent l’importance des
mécanismes de supervision et des processus d’alertes en cas de comportements anormaux. Chaque victime a été prévenue de la fraude par son propre
opérateur téléphonique. Une détection plus rapide aurait certainement permis
de réduire l’impact financier de l’attaque.

- Référence :
http://www.infosecisland.com/blogview/20483-Prevent-VoIP-Toll-Fraud-with-Proper-Configurations.html

http://www.viperlab.net/news-events/blog/exploiting-sbc-international-sip-toll-fraud-case-study

- Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0293


Voir les articles précédents

    

Voir les articles suivants