O mundo da internet está carregado de ameaças de fraudes. A própria liberdade que a natureza da Internet exige, é um chamariz para este cenário. As constantes evoluções tecnológicas e de possibilidades normalmente deixam os usuários medianos sem muita defesa (elas existem, mas cada vez são mais complexas). No mundo VoIP isso não é diferente.
Neste artigo vamos explorar especificamente os problemas de fraude em telefonia. Estes problemas tem sido responsáveis por prejuízos volumosos, algumas vezes acarretando a falência ou fechamento de operadoras VoIP e outras empresas deste ecossistema.
A fraude é antiga e vem atormentando os administradores de sistemas de telefonia a anos. Um dos esquemas mais utilizados é bastante simples, e conta com “organizações” estabelecidas em locais onde, além da liberdade da internet, há pouca ou nenhuma legislação que coíba ou puna tais feitos. Um agente malicioso (hacker, phreaker ,ou seja, lá que nome se dá a este tipo de criminoso) adquire no exterior, pela internet, um Premium Rate Number (ex. +31X3021212). É um número comum internacional, legalmente estabelecido no país de origem. Mas este número paga aos números chamadores 50% da receita. Por ser um numero no exterior, quando a ligação nasce no Brasil, a operadora de origem recebe uma parcela da tarifa cobrada ao “número de A” (originador da chamada).
Assim, o hacker, ao quebrar a segurança de seu sistema e conseguir acesso a um numero VoIP, gera uma (ou inúmeras) chamada a este PRN e acaba gerando tráfego falso. Assim o hacker que comprou o PRN recebe por cada chamada uma quantia que varia de 10 à 20 centavos de euro por ligação no seu cartão de crédito ou paypal. No entanto a chamada muitas vezes custa ao cliente 5 à 10 vezes mais do que isso. 2,00 Euros pode não ser muito. Mas o hacker não faz só uma chamada e nem fica com a conexão aberta apenas um minuto. Normalmente ele lesa casa usuário uma pequena quantia, mas a operadora detentora do “número de A”, perde muito em custos de interconexão, até porque o usuário tende a reclamar.
Como Funciona
De posse do PRN, o hacker busca uma central telefônica, softswitch ou telefone IP aberto na Internet. Usando na maioria das vezes um ataque chamado SIP Bruteforce, o hacker obtém a senha de acesso ao ramal. Com a senha de acesso ele começa a fazer milhares de ligações internacionais. A fraude pode chegar facilmente na casa de 30 à 40 mil reais por dia em tarifas internacionais. Se persistir por 30 dias ela pode girar de R$900.000 à R$1.200.000, o que pode facilmente quebrar uma companhia de pequeno ou médio porte.
O primeiro e mais grave problema são as operadoras tradicionais que não tem nenhum mecanismo para limitar o crédito de seus clientes. Em outras palavras, quando você contrata um circuito telefônico você dá a operadora uma espécie de cheque em branco para ela preencher o valor todo o final do mês. Se este valor for de 1 milhão de reais, será devido e a controvérsia irá inevitavelmente para o nosso arcaico e moroso sistema judiciário. De qualquer forma com a perda do crédito e o nome no Serasa, a maioria das empresas simplesmente fecha e abre com outro nome. A operadora não recebe e tem de pagar as interconexões de qualquer forma gerando um efeito cascata que pode quebrar mais de uma empresa.
Como evitar a fraude VOIP?
Existem diversas medidas que podem ser adotadas tanto em empresas como em operadoras de telefonia. Eu vou elencar as 10 medidas mais importantes para evitar fraudes nas duas categorias, operadoras e empresas.
Operadoras:
- Use senhas fortes, uma senha de no mínimo 8 dígitos com caracteres especiais para qualquer conta de cliente.
- Use contas pré-pagas com limite de crédito ao invés das pós-pagas. Lembre-se você pode controlar a segurança do seu lado, mas não do lado do seu cliente.
- Não habilite todos os destinos internacionais para todas as contas. A maioria dos clientes tem pouco uso em rotas internacionais e quando precisa é normalmente um conjunto limitado de países. Habilite só o que ele precisar.
- Bloqueie IPs que estão presentes em listas negras e àqueles que falharem a autenticação mais de 5 vezes no seu sistema. O utilitário fail2ban tem sido muito usado para isto.
- Monitore, Monitore e Monitore. Designe alguém para verificar o seu CDR todos os dias para ver se não há ligações estranhas.
Empresas:
- Use um Session Border Controller para proteger o seu PABX e para limitar as chamadas para a operadora. Você pode até mesmo criar um limite pré-pago para as conexões.
- Use senhas fortes, uma senha de no mínimo 8 dígitos com caracteres especiais para qualquer conta de cliente.
- Habilite apenas os destinos internacionais necessários e implemente dupla autenticação para internacional. Verifique com seu fabricante de PABX como fazer isto. Se sua empresa for pequena desabilite o internacional e ligue por uma conta pré-paga VoIP.
- Cuide da segurança do seu PABX IP, não exponha ou tenha muito cuidado ao expô-lo à internet. VPNs podem ajudar neste caso.
- Bloqueie IPs que estão presentes em listas negras e àqueles que falharem a autenticação mais de 5 vezes no seu sistema. O utilitário fail2ban tem sido muito usado para isto.
- Monitore, Monitore e Monitore. Designe alguém para verificar o seu CDR todos os dias para ver se não há ligações estranhas.
A falsa segurança dos firewalls
Os dois casos de clientes fraudados que tivemos nos últimos anos ocorreram por excesso de confiança no firewall. Não é porque o seu PABX IP está atrás de um firewall que ele está seguro. Em ambos os casos o firewall sofreu uma alteração de configuração que expôs o PABX IP. Os hackers tentam todos os dias, em um único dia é possível ver dezenas de tentativas de scan como as abaixo. Uma pequena falha pode por tudo a perder.
Mar 1 02:06:40 SECURITY: SIP Scan Attempt from 173.242.123.12:5062 OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 02:21:21 SECURITY: SIP Scan Attempt from 115.168.71.84:5060 [OPTIONS/f=sip:100@192.168.1.9,r=sip:100@x.y.z.w,ua=sundayddr]
Mar 1 03:28:23 SECURITY: SIP Scan Attempt from 199.19.105.20:5094 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 06:35:26 SECURITY: SIP Scan Attempt from 66.226.79.163:5060 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 08:12:30 SECURITY: Attempt to send an invalid request from 85.25.159.16 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=Trixbox
Mar 1 09:05:49 SECURITY: SIP Scan Attempt from 108.163.159.20:5073 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 09:07:45 SECURITY: SIP Scan Attempt from 217.172.184.56:5241 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 09:40:22 SECURITY: SIP Scan Attempt from 173.242.123.202:5069 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 10:23:16 SECURITY: SIP Scan Attempt from 173.242.123.17:5065 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 11:03:12 SECURITY: SIP Scan Attempt from 46.20.1.77:5068 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 11:56:52 SECURITY: SIP Scan Attempt from 12.208.130.194:5072 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 14:22:33 SECURITY: SIP Scan Attempt from 87.98.184.17:5121 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 14:36:38 SECURITY: SIP Scan Attempt from 178.211.44.76:5065 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 15:15:21 SIP Scan Attempt from 109.230.216.148:5063 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 18:20:29 SECURITY: SIP Scan Attempt from 202.155.233.190:5062 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 19:01:44 SECURITY: SIP Scan Attempt from 113.19.87.71:5064 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 19:59:18 SECURITY: SIP Scan Attempt from 203.220.87.126:5061 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Mar 1 23:25:24 SECURITY: SIP Scan Attempt from 108.163.156.148:5060 [OPTIONS/f=sip:100@1.1.1.1,r=sip:100@x.y.z.w,ua=friendly-scanner]
Conclusão
As fraudes não são novas e vão continuar a ocorrer, por isso muito cuidado com o fornecedor do seu PABX IP ou softswitch. Este é um assunto em que eu gostaria de ver a Anatel regulamentar, contas telefônicas não podem ser um “cheque em branco” na mão das grandes operadoras. Elas precisam urgentemente limitar os canais E1 que fornecem. Eu já pensei seriamente em devolver o canal E1 que temos, Só assim eu vou poder dormir tranquilo, porque hoje eu sou obrigado a olhar quase todos os dias os bilhetes da minha central para ter certeza que não vou ser a próxima vítima. Não há como barrar todos os hackers, o administrador é um só e os hacker são muitos, nem os governos tem conseguido. O que temos obrigação de fazer é reduzir as chances e limitar os prejuízos.
Dúvidas, sugestões? Deixe seu comentário!