Key4biz

VoIP: truffa da 1 mln di dollari riporta alla ribalta il tema della sicurezza delle reti

Mondo


Molti lo sostengono già da tanto tempo: il VoIP – la telefonia su internet – potrebbe diventare una grande opportunità di guadagno per gli hacker e il recente arresto di un uomo di Miami, accusato di essere entrato illecitamente in alcune reti di telefonia su IP riuscendo così a far propri 10 milioni di minuti di conversazione, con un guadagno di oltre un 1 milione di dollari, è solo l’inizio.

 

Mentre sempre più utenti americani si lamentano con le autorità del fatto che non esiste un’agenzia federale che vigili sulle società del settore e le costringa al rispetto di determinati codici di condotta, grazie all’aiuto di un hacker, Edwin Pena, fin dal 2004, si sarebbe introdotto nelle reti di almeno 15 fornitori rubando loro minuti di traffico per poi rivenderli – tramite le sue due compagnie telefoniche Fortes Telecom e Miami Tech & Consulting – al prezzo di 0.004 dollari al minuto e causando a ogni società perdite per almeno 300 mila dollari.

 

Pena e il suo ‘socio in affari’ Robert Moore – che passeranno alla storia come i pionieri dell’hacking su VoIP – rischiano ora fino a 25 anni di carcere e multe per oltre 500 mila dollari, ma intanto hanno già investito i guadagni in beni immobiliari, almeno 3 auto di lusso e una moto d’acqua.

 

Per 18 mesi, Pena e il suo compare hanno preparato il terreno per quella che potrebbe essere la nuova frontiera dell’hacking: finora infatti nessuno aveva ben capito come fare soldi manomettendo le reti VoIP e ora c’è da scommetterci che il business messo in piedi dai due pionieri verrà non solo replicato, ma certamente anche migliorato.

 

Pena e Moore, sfruttando i server di un’inconsapevole società di New York hanno utilizzato una pratica nota come ‘spoofing‘ che consiste nel falsificare l’indirizzo IP sorgente della connessione in modo da far credere di essere un altro host per poter superare certe difese o per portare a termine certe tipologie di attacchi.

 

La pratica, tra l’altro non è neanche illegale. Diverse società permettono di servirsi dello spoofing del caller Id in Canada e negli Stati Uniti: disponendo di una carta di credito e di un account Paypal e con 5 cent al minuto, il servizio permette agli utenti di scegliere il numero che apparirà sul display del telefono chiamato, nascondendo il vero identificativo di linea.

 

Il sistema è utilizzato dalle agenzie di recupero crediti e dagli investigatori privati: la telefonata viene fatta transitare dai server Web delle società che offrono il servizio – o anche di ignare società le cui reti siano state violate – che alterano il numero del chiamante prima di stabilire la comunicazione con il numero chiamato.

 

Potenziali vittime di questo tipo di attacchi non sono solo i carrier VoIP: anche aziende e utenti privati possono infatti cadere nelle trame degli hacker, che hanno finalmente trovato un modo remunerativo per dirottare senza autorizzazione la voce così come  hanno finora fatto con i dati.

Secondo Infonetics Research, il VoIP genererà profitti per oltre 23 miliardi di dollari nel 2009, rispetto a 1,2 miliardi nel 2004: la crescita esponenziale della tecnologia, unita alla convergenza delle piattaforme, non può dunque che estendere ulteriormente il campo di azione degli hacker, mettendo a loro disposizione un numero sempre crescente di informazioni da dirottare e sfruttare a loro piacimento.

 

Prima della scoperta delle malefatte di Pena e Moore, gli attacchi alle reti VoIP erano considerati un’eventualità possibile ma remota. Ora che le previsioni si sono materializzate, le società specializzate in sicurezza si attendono una vera epidemia sia di spam su VoIP, noto come spit, che di phishing.

 

Quest’ultima truffa, in particolare, ha già trovato la strada sulle reti IP: ad aprile infatti, la società Cloudmark aveva rilevato due diversi attacchi: in entrambi i casi, i messaggi fraudolenti avvertivano di un problema con il conto bancario e fornivano un numero di telefono per risolverlo.

Il numero telefonico connetteva il malcapitato a un sistema di risposta vocale praticamente identico a quello della banca presa di mira, così come il phishing tradizionale utilizza siti web fasulli ma tali e quali a quelli delle istituzioni o società dalle quali le mail sembrano provenire.

 

La voce guida invitava anche in questo caso a fornire informazioni personali come il numero di conto corrente, il PIN o la password, con risultati devastanti per le finanze personali delle malcapitate vittime.

 

Alla base delle nuove minacce telefoniche, il fatto che il VoIP riduce notevolmente i costi associati all’invio multiplo di messaggi e allo stesso tempo garantisce l’anonimato del mittente. Attacchi di questo genere possono essere condotti anche con i numeri telefonici tradizionali, ma i costi eccessivi renderebbero la truffa poco remunerativa.

 

Le reti VoIP, come se non bastasse, sono minacciate anche dai virus che potrebbero essere usati per lanciare valanghe di spit (un po’ come già avviene per lo spam) o per unire centinaia di sistemi VoIP in armate di “spam-bots” automatizzate per sferrare attacchi DoS (Denial of Service).

 

“Le tecnologie emergenti – ha spiegato il procuratore generale del New Jersey Christopher J. Christie – rappresentano una grande opportunità per il business, ma anche per i criminali. La sfida, per noi e l’FBI di fronte a casi come quello di Pena, è quella di anticipare per quanto possibile i cybercriminali e di proteggere i commercianti onesti”.

 

In sostanza, lo scenario delle possibili minacce alla sicurezza delle conversazioni su Internet non è dei più rassicuranti.

Il settore non è ancora stato sottoposto a regolamentazione né negli Usa né in Europa e non è detto che anche quando delle regole ci saranno, queste saranno sufficienti a scoraggiare gli artisti della truffa, più che mai decisi a mettere le mani anche sul segmento più in espansione della Rete.

Per quanto riguarda, infine, la lotta allo spam, una multa senza precedenti è stata comminata sempre negli Usa a Ryan Pitylak, 24 anni, accusato di essere uno dei peggiori ‘inquinatori’ di internet.

 

Pitylak dovrà pagare 10 milioni di dollari per aver bombardato milioni di utenti con email di phishing, assumendo 250 diverse identità.

Exit mobile version