IP-Telefonie lädt Hacker ein
Kriminelle Hacker nehmen die Voice-over-IP(VoIP)-Systeme von Unternehmen verstärkt ins Visier. Lesen Sie, welche Angriffsszenarien rund um IP-Telefonie es gibt und wie Sie sich vor Erpressern und Spionen schützen.
Cyberkriminelle nehmen die Voice-over-IP(VoIP)-Systeme von Unternehmen verstärkt ins Visier.
Mit der Pandemie und dem Trend zum Home-Office ist die Nutzung von VoIP-Systemen zum Telefonieren stark gestiegen – und damit auch die Angriffsfläche für Hacker. VoIP ist wie jede Netztechnologie angreifbar, trotzdem widmen IT-Abteilungen ihren VoIP-Systemen meist keine große Aufmerksamkeit.
Dabei beginnt die Gefahr schon bei standardisierten oder gemeinsam genutzten Anmeldedaten. Auf der Suche nach Schwachstellen wird dieses Problem oft nicht erkannt. Selbst wenn die VoIP-Infrastruktur eine Schlüsselrolle im Geschäftsbetrieb spielt, stellt sich die Frage, wie viele Unternehmen VoIP-Malware überhaupt bemerken würden.
Wir stoßen immer wieder auf Hacker, die sich mit gestohlenen Berechtigungen Zugang zu Benutzerkonten von VoIP-Administratoren verschaffen wollen. Tools zum Sammeln von Anmeldedaten sind weithin zugänglich, sodass keine tiefen Fachkenntnisse nötig sind, um VoIP-Infrastrukturen anzugreifen. Für Netzsicherheit Verantwortliche sollten folgende Angriffsszenarien auf dem Schirm haben:
Metadaten- und Voicemail-Diebstahl
VoIP-Anrufsysteme erzeugen Sprachaufzeichnungen mit zugehörigen Metadaten, auf die Angreifer es abgesehen haben. Im September 2020 entdeckten ESET-Forscher ein neues Stück Linux-Malware mit dem Namen CDRThief, das für Angriffe auf VoIP-Systeme eingesetzt wird, um die besagten Metadaten zu stehlen. Microsoft wiederum berichtete im August 2019, dass die russische Hackerorganisation APT28 versucht habe, VoIP-basierte Telefonsysteme sowie andere IoT-Geräte zu kompromittieren.
Wir beobachteten außerdem Aktivitäten, bei denen Varianten von FINSPY verwendet wurden, die in der Lage sind, VoIP-Dateiaufzeichnungen zu erfassen. In einem weiteren Angriff schickten Spionage-Akteure eine Phishing-E-Mail mit einer authentischen Voicemail-Nachricht, die möglicherweise vom VoIP-Dienst eines Unternehmens gestohlen wurde.
Call Pumping
Beim „Call Pumping“rufen Hacker von gekaperten Telefonsystemen massenhaft bei gebührenpflichtigen Telefonnummern an. Vorab registrieren die Betrüger gebührenpflichtige Rufnummern im Ausland, um maximal ab
kassieren zu können. Die Communications Fraud Control Association schätzt die Schäden hier auf jährlich vier bis 6,1 Milliarden Dollar. Diese Masche kann ein betroffenes Unternehmen in kurzer Zeit Millionenbeträge kosten, weshalb dieses Verfahren für Cyberkriminelle wirtschaftlich besonders attraktiv ist. Zur Tarnung wählen die Täter oft Nummerndienste aus, bei denen wöchentlich abgerechnet und ausgezahlt wird, während die meisten Telefongesellschaften monatlich abrechnen.
DoS goes Telefonie
Telephony-Denial-of-Service-Angriffe (TDoS) sind eine weitere Art des VoIP-Betrugs. Hier verhindern künstlich erzeugte Massenanrufe seriöse Telefonate. VoIP-Systeme sind auch anfällig für andere DoS-Service-Formen, etwa gefälschte Einladungsanfragen oder Abwesenheitsnotizen, die das System überfluten.
Solche Angriffe fallen schnell auf, aber das wollen die Hacker auch. Sie ziehen die Aufmerksamkeit der IT-Abteilungen auf sich, um woanders unbemerkt Schaden anzurichten.
Manipulation von Anrufen
Wenn ein Angreifer mittels eines Man-in-theMiddle-Angriffs (MitM) Anrufe manipulieren kann, hat er Einfluss auf fast jede telefonbasierende Aktivität, etwa mittels Vishing (sprachbasiertes Phishing) oder indem er telefonische Authentifizierungen umgeht. So kann beispielsweise ein Hacker mit Zugriff auf das Telefonsystem einer Bank eingehende Kundenanrufe in die von ihm gehackte Infrastruktur umleiten. Unter dem Vorwand, sensible Daten zu benötigen, um die Kundenidentität zu bestätigen, kann er sich so den Zugriff auf Bankkonten ergaunern. In einem anderen Ansatz leitet der Hacker Anrufe des Geldinstituts an einen Kunden bezüglich einer Transaktion zu sich um und gibt sich selbst als der Kunde aus, um so sensible Informationen zu erhalten.
Erpressung
Die Kompromittierung der VoIP-Infrastruktur kann Hackern Zugang zu sensiblen Unternehmensinformationen verschaffen oder sie dazu befähigen, einen DoS-Angriff vorzubereiten. In der Vergangenheit haben Cybergangster das genutzt, um die betroffenen Unternehmen zu erpressen. Sichtbar wird dies an Websites, die sensible Daten von Opfern veröffentlichen, weil sie ihre Lösegeldforderungen nicht durchsetzen konnten. Auch gestohlene Gesprächsdaten können die Grundlage für eine Erpressung darstellen. Dank automatisierter Transkription und Verarbeitung von Audiodateien können die Cyberkriminellen sensible Geschäftsdaten immer schneller herausfiltern.