Éviter que votre entreprise ne soient victimes de Dial par la fraude




 

Quelles mesures prendriez-vous pour protéger votre entreprise contre un cambrioleur qui arrivent après les heures de bureau et volé £ 40,000? Je pense que vous feriez en sorte que toutes les portes sont munies de verrous très bon. Vous pouvez installer un système d'alarme et peut-être ont même CCTV surveillance. Cela devrait protéger votre entreprise. Faux! Le cambrioleur n'a pas brisé dans votre bureau, elles ont fait irruption dans votre central téléphonique interne (PBX). Invisible aux yeux de l'homme ou électroniques, des milliers de livres sont dépensés sur les appels téléphoniques internationaux et votre entreprise va payer la facture.

How Does It Work? Dial par la fraude n'est pas un problème nouveau, il vient d'une publicité limitée. Il exploite une fonctionnalité PBX qui permet aux employés de faire tinter au tableau de distribution et par la saisie de certains numéros abrégés, faire des appels nationaux et internationaux pour lesquels l'entreprise va payer la facture.

Beaucoup d'entreprises aura un «il n'arrivera jamais à moi" approche de la ligne par la fraude, même si la plupart des PBX d'affaires sont le programme d'installation doit être maintenue à distance. Ceci est pour permettre aux ingénieurs d'une compagnie de maintenance à effectuer des changements à la configuration sans avoir à faire une visite sur place mais il expose le PBX. Le port d'administration sur le PBX sera raccordé à un modem qui à son tour est connecté à une rallonge sur le PBX.

Utilisation de tâtonnements, les hackers d'identifier le numéro que ce modem est sous tension. Les mots de passe par défaut comme "admin", "0000" ou "1234" sera d'abord testée. Même si le mot de passe a été changé, il ya plein d'utilitaires gratuits sur Internet qui utilisent la force d'essayer toutes les nombre et combinaison de lettres jusqu'à ce que le bon mot de passe est trouvé. Il est connu depuis des codes d'authentification de 16 caractères à craquer de cette façon.

Une fois que le pirate a obtenu un accès d'administrateur sur votre PBX, ils identifieront les numéros de poste non utilisés et les mettre en place pour permettre ligne par l'utilisation de la compagnie des lignes PSTN. Pour le coût d'un appel téléphonique local, le pirate peut faire des appels au Moyen-Orient, Extrême-Orient, Afrique, Australie, etc Certains de ces appels pourraient coûter à l'entreprise jusqu'à £ 3 par minute.

Pour compliquer le problème, le pirate va généralement mis en place un PBX déguisée qui achemine ses appels via le PBX de l'entreprise. Le pirate va alors opérer un appel "Vendre"; vendre des appels internationaux à des clients à des tarifs bon marché. Alternativement, ils pourraient faire des appels à leurs services propre taux de prime de partage de revenus. Il est possible que pendant les 15 heures où votre bureau est fermé, en hausse de 10 appels simultanés peuvent se produire. Et ce n'est que pour une seule journée! Le problème est susceptible de passer inaperçue et sans solution jusqu'à ce que la facture de téléphone arrive à la fin du mois.

It Will Never Happen To Me Un rapport récent dans le Guardian a souligné la situation critique d'une société britannique qui a souffert d'une attaque contre la fraude. La compagnie avait assuré son PBX avec un mot de passe de 16 caractères, mais il était toujours compromise. La découverte de la fraude a été un pur hasard si le rapport de gestion de la compagnie entra dans le bureau tôt un jour de trouver les lumières sur le standard téléphonique illuminé comme un sapin de Noël, alors même qu'il était le seul dans le bureau.

Le rapport montre que la récupération des pertes n'était pas facile. Bien que la société Telco a admis que les appels ont été frauduleux, ce n'était pas leur responsabilité d'assurer l'équipement du client d'une attaque. Par conséquent, le client est responsable de tous les appels effectués par l'intermédiaire du PBX. On a également découvert que la politique d'assurance de l'entreprise avait une clause standard de l'exempter de toute «pertes électronique".

Une affaire de la police Certes, si une fraude a été commise, la police doit enquêter sur la question? Ceci est vrai. Le règlement du Investigatory Powers Act 2000 (Ripa) donne à la police le pouvoir de demander «intercepter les données" de l'Telco qui permettrait d'identifier l'origine des appels entrants dans le PABX. En vertu de la Loi, une Telco est autorisé à facturer jusqu'à £ 1,500 à couvrir leurs coûts de récupération des données demandées par la police. Cela signifie que dans tous les cas, la police doit décider si les pertes financières impliquées dans la fraude justifie le coût de la «intercepter les données". Pour les pertes de gros, la réponse est probablement oui à chaque fois. Toutefois couper, dans les cas de petites actions associant à quelques centaines ou quelques milliers de livres, la réponse mai ne pas être aussi claire.

Comment peut-on prévenir La façon la plus évidente est de ne pas permettre l'accès à distance aux installations de l'administration du PABX. Toutefois, cette mai ne pas être pratique et pourrait entraîner une augmentation des redevances de la société de maintenance. La seconde méthode consiste à utiliser un mot de passe très aléatoire sur le PBX, à concurrence du nombre maximum de caractères et de bloquer le modem afin qu'il ne fera que répondre à des appels à partir d'un seul numéro. Cette solution est très rigide et après un certain temps peut être désactivée si elle devient impraticable.

Idéalement, vous voulez une solution qui pourrait offrir les avantages suivants:

  1. Utiliser un modem qui emploie authentifié cryptage pour empêcher les pirates avec des modems standard de pouvoir se connecter.
  2. Certains matériels d'agir comme un intermédiaire entre le branchement et le PABX. Le matériel pourrait alors déterminer à travers un nom d'utilisateur / mot de passe le niveau d'accès de donner au PBX.
  3. Le matériel doit surveiller de manière proactive le PBX recherchez les premiers signes d'une activité frauduleuse.


Secure Access Modems
Accès sécurisé modems ont tendance à être matériel en fonction. Un modem est connecté à l'autocommutateur privé, tandis qu'un ou plusieurs modems sont déployées sur le terrain. Les modems utilisent une clé secrète, cryptée et un ID unique pour fournir un défi / réponse à des appels entrants. En conséquence, seul un modem avec une clé cryptée correspondant secret, en utilisant un ID qui est autorisé par le modem PBX sera en mesure de se connecter.

Cela fournit une alternative plus flexible à l'appel d'un numéro unique. Le modem est autonome et ne requiert aucun logiciel spécial. Il est peu probable qu'un pirate aléatoire en utilisant un modem standard sera en mesure de franchir ce premier obstacle.

Matériel Agissant en tant qu'intermédiaire
Si vous utilisez un dispositif matériel, il peut agir comme une passerelle entre le PABX et l'utilisateur. Elle pourrait enregistrer toutes les tentatives de connexion. Il peut être configuré pour envoyer une alerte (comme un e-mail par exemple) quand il détecte échecs de connexion multiples. Ce type de comportement pourrait se produire si un pirate a utilisé une attaque en force brute pour essayer de découvrir le mot de passe.

Différentes combinaisons de noms d'utilisateurs et mots de passe pourrait être accordée aux différents niveaux d'accès au PBX. Les utilisateurs peuvent donc se limiter à effectuer certaines actions uniquement à partir d'un choix de menu limité. Cela empêche les pirates d'accéder sans restriction à toutes les fonctionnalités d'administration.

La surveillance proactive pour Dial par la fraude
Un cadran grâce à la solution la fraude ne peut contrôler de manière anticipée la sortie appel du PBX. Il peut être configuré pour rechercher des activités appel suspect. Dans le cas de la société en vedette dans l'article de The Guardian, ce serait d'utiliser un jeu de règles "" pour rechercher tous les appels qui ont eu lieu en dehors des heures de bureau. Lorsque l'activité suspecte est détectée, une alerte sera envoyée contenant les détails. Cela permet une réponse appropriée à prendre, en réduisant les pertes potentielles causées par la fraude.

Dial par la fraude peut très rapidement et silencieusement causer des milliers de livres de dollars de pertes pour une entreprise. Les précautions de sécurité standard en place pour l'empêcher sont faibles, surtout par rapport à ceux utilisés sur des réseaux informatiques. À essayer de recouvrer toute perte est aussi difficile que la détection des fraudes dans la première instance. Data Track peut offrir une gamme de solutions Tracker [20platform% http://www.datatrackplc.com/Tracker / 6] qui ne seront pas seulement ajouter une sécurité supplémentaire pour votre PBX, mais aussi fournir un moyen de détecter des pertes avant qu'elles progressent trop loin.

 
Avoir un logo conçu pour votre entreprise? Comment vous assurer d'obtenir ce que vous pensez que vous payez pourGuide de survie pour les infirmières en soins palliatifsComment déléguer le meilleur?Minding Your Own Brand: Si le gâteau est mauvais - What Good Is The Glaçage?Getting to Yes Or est devenu plus facileSous-évaluation de ce que vous proposez? Vous Mai perdre des clientsRafraîchir votre approche NewsletterLa valeur du catalogue d'impression en ligneComment surmonter la peur de faire un coup de téléphoneEliminer les candidats ayant Conflict IssuesCharismatique de la communication - l'importance des méga-FramingBackground Check est importantCarrière en tant que formateur FranchiseLes clients potentiels - Critères d'évaluationEntrepreneurs sur la voie rapide: Top 7 Lessons Learned From The Inc-500Choisir un Best in Class Finance PartnerComment rédiger un communiqué de presseComment décider quel entreprise de vente directe Is Best For YouQuelle est la valeur de votre réputation?Avantage concurrentiel grâce à la création continu de l'innovation

© 2007-2012 Geocitoyen.com