Overslaan en naar hoofdcontent gaan

Voorkom misbruik • Sip trunk en ISDN

  • Bijgewerkt

Inhoudsopgave
1 uw telefooncentrale.
2 waarom worden PBX-en misbruikt? 
3 waar zit het risico?  
4 aanvalsmethoden  
4.1 inbreken op de onderhoudstoegang van de PBX  
4.2 verkrijgen van de accountgegevens van IP-telefoons 
4.3 voicemail  
4.4 automatische telefoniste 
4.5 doorschakelen
4.6 social engineering
4.7 DISA (Direct Inward Service Access) 
5 preventie 
5.1 algemeen
5.2 internet
5.3 accountgegevens IP-telefoons 
5.4 fysieke toegang
5.5 onderhoudstoegang
5.6 voicemail
6 ten slotte 

1 uw telefooncentrale
Een telefooncentrale, ook wel PBX of PABX genoemd (Private -Access- Branch Exchange), is een essentieel onderdeel van uw organisatie. Samen met een dean sip trunk of een dean isdn lijn zorgt de telefooncentrale ervoor dat u telefonisch bereikbaar bent voor de buitenwereld. Het is daarom van groot belang om ervoor te zorgen dat de continuïteit van uw PBX gegarandeerd is en dat er geen misbruik door derden van kan worden gemaakt.

In dit document wordt ingegaan op verschillende manieren waarop kwaadwillende trachten toegang te krijgen tot uw PBX en op de maatregelen die u kunt nemen om u daartegen te beschermen.

Dit voorkomt dat u geconfronteerd wordt met onverwachte kosten door misbruik, met het openbaar raken van vertrouwelijke informatie of zelfs met het uitvallen van uw telefooncentrale.

Indien u gebruik maakt van dean cloud telefonie, raadpleeg dan het document “veilig bellen met dean cloud telefonie”.

2 waarom worden PBX-en misbruikt?
Voor kwaadwillende zijn er meerdere redenen om een PBX te misbruiken, waaronder:

“Gratis” bellen naar dure bestemmingen
Bij deze vorm van misbruik verkrijgt een hacker toegang tot de PBX en worden telefoonnummers doorgeschakeld naar dure internationale nummers. Indien nu het doorgeschakelde (Nederlandse) nummer wordt gebeld, wordt de oproep doorgeschakeld naar het dure internationale nummer. De getroffen PBX wordt vervolgens door kwaadwillende of door malafide belhuizen gebruikt om “gratis” naar deze nummers te kunnen bellen. De schade kan oplopen tot vele duizenden euro’s.

Inkomstengeneratie door bellen naar dure 0900 nummers
Bij deze vorm van misbruik opent een crimineel (al dan niet via een stroman) een 0900 nummer of een buitenlands “premium” nummer. Indien dit dure nummer wordt gebeld, ontvangt de malafide eigenaar van het nummer voor elke minuut dat er wordt gebeld een geldbedrag. Dit bedrag kan oplopen tot wel € 0,70 per minuut, terwijl de beller (de eigenaar van de getroffen telefooncentrale) tot wel € 1,00 kan betalen. De malafide nummerhouder laat zoveel mogelijk PBX-en hacken en laat deze zoveel mogelijk bellen naar zijn 0900 nummer. Ook hier kan schade oplopen tot vele duizenden euro’s.


3 waar zit het risico?
Moderne PBX-en zijn bij tal van bedrijven, van klein tot groot, te vinden. Sommige functies van PBX-en bieden mogelijkheden voor kwaadwillende om in te breken, zoals:

  • Systeembeheer op afstand
  • Diefstal van accountgegevens van IP-telefoons
  • Voicemail
  • Direct Inward System Access (DISA) – hiermee kunnen medewerkers die niet op kantoor werken via de PBX van hun bedrijf bellen
  • Automatische Telefoniste/Interactive Voice Response (IVR) systemen – hiermee kunnen inkomende oproepen via één keuzemenu worden doorverbonden, bijvoorbeeld: toets 1 voor de afdeling verkoop, toets 2 voor de afdeling support, etc.
  • Doorschakelingen – hiermee kunnen oproepen naar een toestel doorgeschakeld worden naar een vooraf ingesteld nummer.

Moderne telefooncentrales beschikken vaak ook over Voice over IP (IP staat voor Internet Protocol) en ze zijn daarom ook vaak op het internet aangesloten, hetzij om te kunnen bellen via een SIP Trunk, hetzij voor onderhoud op afstand.

4 aanvalsmethoden
Kwaadwillende zijn vaak professionals die beschikken over uiterst geavanceerde middelen om in te breken op telefooncentrales. Hierbij gebruiken zij onder meer de volgende methoden.

4.1 inbreken op de onderhoudstoegang van de PBX
Elke PBX beschikt over een toegang voor systeemonderhoud waarmee technici de PBX kunnen onderhouden en instellingen kunnen wijzigen. Dit kan vaak zowel op afstand als op locatie gebeuren. De meeste PBX-en beschikken over toegangsbeveiliging in de vorm van een wachtwoord, pincode, terugbelsysteem of een combinatie hiervan. Indien de PBX-hacker toegang weet te verkrijgen, kan hij het systeem zodanig configureren dat het kan worden gebruikt voor de hiervoor genoemde vormen van misbruik.

4.2 verkrijgen van de accountgegevens van IP-telefoons
Moderne telefooncentrales zijn vrijwel altijd Voice over IP (VoIP) telefooncentrales. Er kunnen IP-telefoons op aangesloten worden. Deze IP-telefoons worden via een “account” dat bestaat uit een gebruikersnaam en een wachtwoord aangesloten op de VoIP centrale. Kwaadwillende proberen de beschikking te krijgen over de accountgegevens van IP-telefoons om op die manier de controle te krijgen over de telefoon en vervolgens te kunnen bellen naar dure bestemmingen of 0900 nummers.

4.3 voicemail
Indien uw PBX beschikt over een voicemail systeem, dan zijn de individuele voicemailboxen vaak ook van buiten uw organisatie toegankelijk voor medewerkers. Ze kunnen dan bijvoorbeeld nieuw binnengekomen berichten beluisteren, hun begroeting aanpassen of hun toestelnummer doorschakelen. Dit laatste is met name weer interessant voor PBX-hackers. Zij kunnen het toestel bijvoorbeeld weer omleiden naar een duur 0900 nummer of naar dure internationale bestemmingen. Door nu naar het betreffende toestel te bellen kunnen zij kosteloos bellen naar 0900 nummers of dure internationale bestemmingen.

4.4 automatische telefoniste
Net als bij voicemailsystemen is het soms mogelijk om via de Automatische Telefoniste (ook wel Interactive Voice Response systeem genoemd) een buitenlijn te kunnen kiezen. Zo kunnen PBX-hackers die inbellen op een automatische telefonistedienst vervolgens extern bellen en uw organisatie op kosten jagen.

4.5 doorschakelen
PBX-hackers, die bijvoorbeeld via de onderhoudstoegang inbreken op de PBX kunnen deze opnieuw configureren. Ze kunnen bijvoorbeeld een toestelnummer doorschakelen naar een internationaal of premium tarief-nummer. Een andere mogelijkheid is dat kwaadwillende medewerkers een toestelnummer (meestal ‘s avonds of in het weekend of tijdens de vakantie) doorschakelen naar een internationaal of premium tariefnummer.

4.6 social engineering
Social engineering is het onder valse voorwendselen verkrijgen van informatie of privileges om misbruik te plegen. PBX-hackers bellen bijvoorbeeld een nummer binnen een bedrijf en vragen om weer te worden doorverbonden naar de telefoniste. Daarbij ziet de telefoniste de oproep als een intern gesprek en kan ze worden overgehaald hulp te bieden bij het kiezen van een internationaal nummer. Ook kunnen medewerkers worden overgehaald toegangscodes en pincodes af te geven, bijvoorbeeld door een PBX-hacker die zich voordoet als een onderhoudstechnicus. Met deze informatie kan de hacker toegang verkrijgen tot de PBX.

4.7 DISA (Direct Inward Service Access)
Dit is een functie waarmee medewerkers die niet op kantoor werken via de PBX van hun bedrijf kunnen bellen. Kwaadwillende kunnen van deze functie gebruikmaken om te bellen naar internationale of premium ratenummers.

5 preventie
5.1 algemeen
Het beveiligen van uw PBX start met het aanwijzen van een ‘eigenaar’ die eindverantwoordelijk is voor de beveiliging van het PBX-systeem. Dit is vooral van belang wanneer de verantwoordelijkheid voor beveiliging onduidelijk is. Wie is bijvoorbeeld verantwoordelijk voor fraudepreventie wanneer de PBX niet in het bezit is van de organisatie maar bijvoorbeeld wordt geleased? Of wanneer het onderhoud wordt uitgevoerd door een externe partij. De ervaring leert dat bij misbruik iedereen verwachtte dat een ander verantwoordelijk is.

Een zeer effectieve basismaatregel om misbruik tegen te gaan is om dié functies die niet per sé nodig zijn (bijvoorbeeld bellen naar 0900 nummer en mogelijk internationale nummers) uit te schakelen of te blokkeren en de toegang te vergrendelen om er zeker van te zijn dat deze diensten niet opnieuw ingeschakeld kunnen worden zonder toestemming van de systeemeigenaar.

Ook door de volgende algemene regels toe te passen kunt u het risico op misbruik aanmerkelijk verkleinen:

  • Zorg dat er een telefoonbeleid is voor uw organisatie en zorg dat het bij alle medewerkers bekend wordt gemaakt. Geef medewerkers alleen de mogelijkheden die ze nodig hebben. Blokkeer internationaal bellen voor personen die dat niet per sé nodig hebben;
  • Wanneer een medewerker het bedrijf verlaat, zorg dat dat zijn/haar toestel en andere instellingen worden opgeheven;
  • Schakel niet-toegewezen toestellen uit. Maak gebruik van periodieke controles om ongebruikte toestellen in kaart te brengen en uit te schakelen;
  • Beperk de doorschakelvoorziening systeem breed. Zorg dat er alleen naar interne nummers kan worden; doorgeschakeld en indien extern doorschakelen toch wordt toegestaan, dat dit niet kan naar 0900 nummers en internationale nummers;
  • Zet buiten normale kantoortijden uw PBX-systeem in de nachtstand en zorg dat er in de nachtstand niet naar internationale nummers gebeld kan worden.

5.2 internet
Indien uw PBX gebruikt maakt van een dean one sip trunk, is het aan te raden gebruik te maken van een door dean one geleverde verbinding. Een dean one verbinding wordt geleverd met een beveiligde router en wordt aangesloten op het beveiligde dean one netwerk. Bijkomend voordeel is dat dean one de kwaliteit van gesprekken via een dean one internetverbinding garandeert. Deze verbinding is bovendien afgeschermd van het publieke internet.

Indien u toch gebruik wenst te maken van een internetverbinding van derden, zorg er dan voor dat uw PBX wordt beschermd door een firewall en dat de router beschermd is met een sterk wachtwoord. Neem voor specifieke firewall regels contact op met uw telecomleverancier of met dean one!

Breng een logische scheiding aan tussen uw data- en telefonienetwerk door bijvoorbeeld gebruik te maken van VLAN’s of individuele switches. Hierdoor kan er niet zomaar toegang worden verkregen tot uw telefonie componenten vanuit het reguliere datanetwerk.

5.3 accountgegevens IP-telefoons
De accountgegevens van een IP-telefoon zijn net zo waardevol als een bankpas met pincode. Kwaadwillende kunnen met de combinatie van een gebruikersnaam en een wachtwoord een IP-telefoon aanmelden op uw PBX en zo bellen naar dure bestemmingen of 0900 nummers. Zorg er dus voor dat deze accountgegevens niet in verkeerde handen komen.

Enkele tips:

  • Gebruik “sterke” gebruikersnamen en wachtwoorden. Dit zijn bijvoorbeeld combinaties van hoofdletters, kleine letters en speciale tekens zoals !#$& en een wachtwoorden met een minimale lengte van 12 karakters. dean one the business provider for mobile, internet and voice 6
  • Verstuur gebruikersnaam en wachtwoord bij voorkeur nooit via e-mail. Indien dit onverhoopt niet anders kan, verstuur dan twee e-mails, één met de gebruikersnaam en één met het wachtwoord. Nog veiliger is om een ander medium te gebruiker, bijvoorbeeld de gebruikersnaam per e-mail en het wachtwoord in een Whatsapp bericht;
  • Schrijf gebruikersnaam en wachtwoord nooit op. Papier kan blijven slingeren en in verkeerde handen komen;
  • Indien u toestaat dat medewerkers een IP-telefoon mee naar huis nemen om thuis te kunnen werken, zorg dan ook dat de internetverbinding van uw medewerker afdoende beveiligd is;
  • Gebruik Softphones niet op publieke wifinetwerken.

5.4 fysieke toegang
Zorg voor afdoende fysieke beveiligingen om onbevoegde toegang te voorkomen. Voorkom dat onbevoegden toegang hebben tot de ruimte waar de PBX is geplaatst. Waar mogelijk moet de PBX in een afgesloten ruimte met beperkte toegang worden geplaatst.

5.5 onderhoudstoegang
Om de kwetsbaarheid van onderhoudsfuncties te beperken, gaat u als volgt te werk:

  • Zorg dat het standaard-fabriekswachtwoord voor de onderhoudstoegang voor uw type PBX wordt gewijzigd in een sterk wachtwoord en wijzig dit wachtwoord regelmatig;
  • Zorg dat de onderhoudstoegang na het invoeren van een beperkt aantal foute wachtwoorden wordt geblokkeerd;
  • Zorg indien mogelijk, dat de onderhoudstoegang na een bepaalde periode van inactiviteit verbreekt;
  • Indien onderhoudstoegang op afstand via een modem plaats vindt, zorg dan dat dit modem een willekeurig telefoonnummer heeft en geen onderdeel uitmaakt van een reeks van nummers die u bijvoorbeeld op uw website heeft staan. Op deze manier kunnen kwaadwillende lastiger het nummer van het onderhoudsmodem “raden”;
  • Zorg dat de onderhoudstoegang op afstand standaard is geblokkeerd en alleen kan worden vrijgegeven van binnenuit uw organisatie;
  • Plaats onderhoudsterminals in een afgesloten ruimte die niet voor iedereen toegankelijk is;
  • Schakel onderhoudsfuncties uit als ze niet vereist zijn.

5.6 voicemail
Om de kwetsbaarheid van het voicemailsysteem te beperken, gaat u als volgt te werk:

  • Zorg ervoor dat voicemailboxen worden beveiligd met een pincode van bij voorkeur 6 cijfers of meer;
  • Sta alleen “sterke” pincodes toe, dus geen 0000, 1234 etc.;
  • Zorg dat de pincodes afwijken van het toestelnummer van de betreffende voicemail box;
  • Zorg dat toegang tot de voicemail box wordt geblokkeerd na een bepaald aantal foute inlogpogingen;
  • Deactiveer de doorschakelfunctie in het voicemailsysteem of zorg dat er alleen kan worden doorgeschakeld naar interne nummers.

6 ten slotte
Zoals eerder aangegeven is het goed een ‘eigenaar’ aan te wijzen die eindverantwoordelijk is voor de beveiliging van uw PBX. Voer een periodieke beveiligingscontrole uit om er zeker van te zijn dat de ingevoerde beveiligingsmaatregelen functioneren. Wanneer u alle aanbevelingen opvolgt zult u het risico op misbruik aanmerkelijk beperken.

Mogelijke indicatoren voor fraudepogingen zijn:

  • IP-telefoons die niet meer kunnen bellen of “offline” zijn;
  • Medewerkers die merken dat ze geen toegang meer hebben tot hun voicemail box;
  • Onderhoudstechnici die geen toegang meer kunnen krijgen tot de PBX;
  • Alle buitenlijnen zijn regelmatig bezet.

Neem in geval van twijfel zo snel mogelijk contact op met uw telecomleverancier of met dean one!

Verwante artikelen