Os cibercriminosos encontraram uma nova rampa de lançamento para os seus esquemas: os sistemas telefónicos das pequenas e médias empresas dos Estados Unidos. Nas últimas semanas, há registos de ataques a dezenas de sistemas telefónicos de todo o país, utilizados pelos criminosos como forma de contacto com clientes bancários insuspeitos, enganados de forma a divulgarem os seus números de conta e passwords de acesso.
As vítimas pertencem normalmente a pequenas instituições regionais, que por norma têm menos recursos para detectar este tipo de esquema. Os delinquentes violam os sistemas telefónicos e ligam às vítimas, reproduzindo uma mensagem previamente gravada onde lhes diz que ouve um erro na sua conta ou que esta foi suspensa devido a actividade suspeita. Se o cliente preocupado com a situação acabar por introduzir o seu número de conta e o PIN do seu cartão como lhe é pedido, os criminosos utilizam essa informação para produzir cartões de débito falsos que lhes permitem esvaziar as contas desses clientes.
Há 20 anos já os hackers eram notícia por conseguirem entrar nos sistemas telefónicos das empresas – uma prática então conhecida como phreaking -, mas à medida que os sistemas tradicionais se foram integrando cada vez mais com a Internet, novas oportunidades estão a surgir para a perpetração de fraudes.
Os ataques por VoIP (voice over Internet Protocol) são "a nova fronteira que separa o mundo das telecomunicações e do cibercrime", segundo Erez Liebermann, procurador assistente do distrito de Nova Jérsia, para quem esta é "uma ameaça séria e constante que deve preocupar todas as empresas".
Os ataques a um dos mais populares sistemas VoIP, o Asterisk, são agora "endémicos", de acordo com John Todd, da empresa criadora do produto, a Digium. Segundo este responsável, "é como roubar um taco de basebol para mais tarde partir a janela de um carro. Aqui, o primeiro passo é conseguir entrar no Asterisk".
Os ataques ao Asterisk começaram por ser um problema considerado reduzido, tendo evoluído para um fenómeno muito mais sério por volta de Setembro de 2008, altura em que as suas ferramentas fáceis de utilizar foram disponibilizadas pela primeira vez. "Agora, temos pessoas que fazem vídeos no Asterisk, bem como blogs e podcasts", sublinha John Todd.
Com estas ferramentas, pode ser relativamente fácil violar um sistema VoIP, atacando o servidor concebido para ligar o tráfego proveniente da rede de área local do escritório da empresa a um fornecedor como a AT&T, que faz a conexão das chamadas com o resto do mundo.
Hackers fazem milhares de tentativas
O hacker tenta adivinhar as passwords do sistema VoIP, fazendo milhares de tentativas. Enquanto um programa da Internet como o Gmail bloqueia os visitantes depois de não terem acertado na password uma meia dúzia de vezes, os sistemas VoIP não são muitas vezes configurados de forma a fazê-lo e deixam qualquer computador ligar-se a eles. Assim, os hackers insistem nas tentativas repetidas, com o objectivo de adivinharem as extensões telefónicas em funcionamento. Assim que encontram uma, fazem correr um programa de software destinado a descobrir a respectiva password. Ao consegui-lo, ficam com acesso imediatamente garantido a essa conta de VoIP e podem, então, começar a fazer as suas chamadas gratuitamente.
Foi isso que aconteceu na Innovative Technologies, com sede no estado da Virgínia. Foi atacada no início de Outubro, aparentemente por cibercriminosos romenos que utilizaram o seu sistema VoIP para fazer chamadas de phishing aos clientes do Liberty Bank, um pequeno banco regional com escritórios na Califórnia.
"Os hackers tinham analisado um grande número de endereços IP na Internet com o objectivo de conseguirem encontrar os servidores VoIP", conta Terry Lewis, CEO da Innovative Technologies. No dia 3 de Outubro, Terry Lewis começou a receber mensagens de correio de voz de clientes do Liberty que tinham sido alvo das chamadas telefónicas fraudulentas. Decidiu, então, verificar os logs do seu sistema VoIP no dia seguinte e descobriu que os hackers tinham feito perto de 300 chamadas durante o fim-de-semana – um número suficientemente reduzido para não ser rapidamente detectado.
Assim que o sistema VoIP é atacado, os criminosos utilizam-no para realizar ataques de phishing por telefone, também chamado de vishing. Os ataques de vishing já existem há alguns anos, mas passavam algo despercebidos, já que normalmente afectam pequenos bancos regionais e não instituições financeiras de grande importância e destaque no mercado. Os criminosos mudam, assim, frequentemente de um banco para o outro todas as semanas, assim que completam as suas campanhas.
De acordo com o Liberty Bank, outras instituições regionais foram também atingidas por ataques de vishing perpetrados através de sistemas VoIP comprometidos. O Liberty preferiu não divulgar o nome dos outros bancos, mas, nas últimas semanas, o Union State Bank e o Solvay Bank também denunciaram esquemas semelhantes.
20 a 30 mil chamadas por dia
Terry Lewis teve a sorte de a sua empresa não ter sido obrigada a assumir os custos das chamadas telefónicas. Dependendo da forma como os seus próprios sistemas estão configurados, as empresas podem ser responsabilizadas por todos os custos telefónicos, nacionais e internacionais, que resultem do incidente.
O vice-presidente do Liberty Bank, Jill Hitchman, acredita que os burlões que atacaram o seu banco terão também atingido outras 30 a 35 empresas, realizando entre 20 a 30 mil chamadas telefónicas por dia. "Não creio que estas instituições já se tenham apercebido que, provavelmente, vão ter grandes facturas telefónicas para pagar", disse Hitchman, acrescentando que "a principal questão é saber de que forma estão estes sistemas a ser atacados e porque não conseguimos ainda pôr fim a estes esquemas".
Apenas alguns clientes do Liberty caíram na armadilha, conta o vice-presidente do banco, que reconhece, no entanto, que os criminosos sabiam bem como fazer as coisas. Os criminosos começam por criar uma conta AOL, para determinar se os números do cartão dados pelo cliente do banco funcionam ou não. Uma vez que a AOL oferece um período de experimentação gratuito aos seus membros, os custos imputados ao cartão não aparecem senão dali a uns meses. Quando finalmente surgem, já os criminosos utilizaram as informações em seu poder para clonar os cartões das vítimas e esvaziar as suas contas.
Ignorância promove insegurança
As empresas poderiam evitar muitos destes ataques se alterassem a porta que utilizam para as ligações Session Initiation Protocol (SIP) nos seus sistemas VoIP, bloqueando qualquer conexão após um determinado número de tentativas falhadas. Outra recomendação muitas vezes feita pelos peritos em segurança é também a utilização de melhores passwords nos seus sistemas de voz.
O problema é que, para muitas pequenas e médias empresas, a segurança não é uma prioridade. "As pessoas preocupam-se muito mais em saber se as suas conference calls têm ou não suficiente qualidade de som", sustenta Rodney Thayer, CTO da empresa especializada em segurança VoIP, Secorix.
Na sua opinião, as instituições não pensam que os seus sistemas VoIP estão tão vulneráveis a ataques como os seus servidores de e-mail ou Web, e isso é um erro grave. "Olham para o VoIP como se fosse um sistema diferente, mas não é. Trata-se basicamente da mesma coisa: existem dados que são transportados ao longo de uma rede", sublinha o mesmo responsável.
