Hoe voorkomt u een misdaad die miljoenen kost en zowel grote als kleine bedrijven treft

Na veertig jaar is met ‘phreaking’ of het hacken van telefoons nog steeds veel te verdienen. De verliezen als gevolg van wereldwijde communicatiefraude zijn naar schatting vier keer zo hoog als die door fraude met creditcards. De praktijk is tegenwoordig niet langer het terrein van grappenmakers en studenten, maar is getransformeerd in een goed georganiseerde en groeiende criminele activiteit die bedrijven miljarden dollars per jaar kost. Hierbij de belangrijkste risicofactoren uit om vast te stellen of een organisatie wordt blootgesteld aan fraudeurs en de stappen die bedrijven kunnen nemen om hun communicatielijnen te beveiligen.

Het hacken van telefoons is een criminele activiteit die miljarden dollars kost. Volgens schattingen van de Communications Fraud Control Association (CFCA) liggen de verliezen als gevolg van fraude door het hacken van PBX-centrales rond de 4,4 miljard dollar.

Fraude met telefoonkosten betreft het onbevoegde gebruik van een communicatiesysteem door hackers. Ze compromitteren het systeem en maken hoge kosten met internationale telefoongesprekken of betaalnummers die ze onder controle hebben. Georganiseerde criminelen beseffen dat bedrijven vaak wel hun netwerken en pc’s goed tegen geavanceerde aanvallen beschermen. Wat betreft hun communicatieoplossingen zijn ze echter vaak zeer kwetsbaar.

De kosten kunnen behoorlijk oplopen, aangezien bij dit type fraude geen onderscheid wordt gemaakt tussen grote en kleine bedrijven. Nu het gebruik van VoIP-communicatie in bedrijven snel toeneemt, liggen er talloze kansen. Volgens het onderzoek van de CFCA zijn de kosten als gevolg van fraude sinds 2011 met 15% gestegen, mede door het gemak waarmee fraude-instructies en videolessen op sociale media kunnen worden uitgewisseld en de relatief beperkte technische vaardigheden die nodig zijn om slecht beveiligde communicatiesystemen te hacken.

Het visitekaartje van de fraudeur 
Hackers vallen aan via poortscans, eenvoudige en ‘brute’ technologie, of via subtielere social-engineering-technieken. Organisaties merken meestal pas dat ze slachtoffer van fraude zijn geworden wanneer ze de telefoonrekening zien! Belangrijke signalen om alert op te zijn, zijn een groot aantal internationale telefoongesprekken vanaf dezelfde interne telefoon, een piek van internationale gesprekken buiten kantooruren naar een land waar het bedrijf geen zaken mee doet of een waarschuwing van de telefonist die meerdere korte telefoongesprekken naar een betaalnummer constateert. 

Risicobeoordeling 
Oudere systemen, een verouderd beveiligingsbeleid en een onzorgvuldige configuratie, vooral wanneer VoIP-telefoons in het netwerk zijn geïntegreerd, zijn de drie belangrijkste risicofactoren die vaak over het hoofd worden gezien door bedrijven. Deze stellen hen echter direct bloot aan de zeer reële risico’s dat hun telefooncentrale wordt gehackt en er  fraude met telefoonkosten wordt gepleegd. 

Hoe stelt een bedrijf dan vast dat het kwetsbaar is? Hieronder volgt een goede controlelijst. Als u een van deze vragen met ‘ja’ moet beantwoorden, loopt uw bedrijf risico:

1. Zijn dezelfde systeemwachtwoorden al meer dan een jaar in gebruik?
2. Gebruiken eindgebruikers standaardwachtwoorden voor voicemail?
3. Zijn er modems op de communicatieserver aangesloten?
4. Hebben alle eindgebruikers toegang tot internationale nummers?
5. Worden telefoniediensten aangeboden aan gebruikers buiten het bedrijf?
6. Zijn er onlangs personeelswisselingen geweest in het systeembeheerteam?

Preventie en bescherming
Het is precies om die reden dat bedrijven zoals Alcatel-Lucent Enterprise controlediensten ter voorkoming van telefoonkostenfraude aanbieden om bedrijven te assisteren met het invoeren van best practices en beschermingsmechanismen om de meeste scenario’s met telefoonkostenfraude te voorkomen. Dit zijn de belangrijkste in te voeren ‘best practice’-elementen om fraude met telefoonkosten te beperken:

• Voer zelf goede controles in – gebruik sterkere wachtwoorden en evalueer uw wachtwoordenbeleid. Stel gespreksblokkeringsregels in om uitgaande gesprekken te beperken tot kantooruren, voer een wachtwoordbeveiliging in voor internationale gesprekken of betaalnummers en voer extra doorverbindings- en doorschakelingsbescherming in. Het is ook belangrijk om de verantwoordelijkheden en beheersrechten van uw werknemers te onderzoeken.

• Zorg dat uw softwareversies en beveiligingspatches actueel zijn – houd softwareversies actueel om te zorgen dat u profiteert van de nieuwste productuitbreidingen en technologische ontwikkelingen. Versterk uw oplossingen door best practices op het gebied van beveiliging te hanteren en installeer altijd de nieuwste beveiligingspatches van leveranciers. Houd er echter rekening mee dat hackers zich ontwikkelen. U moet met hen meegroeien, dus daarom is het essentieel om regelmatig te evalueren of uw systemen kwetsbaar zijn voor fraude.

• Vergroot het interne bewustzijn – leid werknemers op in elementaire beveiligingsmaatregelen, de juridische en financiële risico’s van fraude en hun plichten en verantwoordelijkheden. Herinner hen aan de vertrouwelijkheidsregels en dat ze moeten oppassen dat ze geen technische details over het communicatiesysteem aan anderen doorgeven. Soms is het ook nuttig om interne bewustwordingscampagnes op het gebied van fraude op te zetten zodat uw medewerkers ongebruikelijke activiteit of gedrag met betrekking tot telefoniediensten melden.

Fraude met telefoonkosten is een steeds grotere bedreiging. Door deze eenvoudige stappen te nemen, kunt u het fraudeurs echter veel lastiger maken en ervoor zorgen dat uw communicatiesysteem geen gemakkelijk doelwit is. 

Manish Sablok, Head of Marketing voor Centraal-, Noord- en Oost-Europa bij Alcatel-Lucent Enterprise