Inhoudsopgave
1 uw dean cloud telefooncentrale
2 waarom worden telefooncentrales misbruikt?
3 waar zit het risico?
4 aanvalsmethoden
4.1 inbreken op de beheerportal van de cloud telefoniecentrale
4.2 verkrijgen van de accountgegevens van IP-telefoons
4.3 automatische telefoniste/IVR of keuzemenu
4.4 doorschakelen
4.5 social engineering
5 preventie
5.1 algemeen
5.2 internet
5.3 accountgegevens IP-telefoons
5.4 beheerportal
6 ten slotte
1 uw dean cloud telefooncentrale
U maakt gebruik of gaat gebruik maken van een dean cloud telefooncentrale. Dit is een essentieel onderdeel van uw organisatie en zorgt ervoor dat u telefonisch bereikbaar bent voor de buitenwereld. Het is daarom van groot belang om ervoor te zorgen dat de continuïteit van uw dean cloud telefooncentrale gegarandeerd is en dat er geen misbruik door derden van kan worden gemaakt. U kunt uw cloud telefooncentrale met enkele eenvoudige maatregelen wapenen tegen kwaadwillende. Dit voorkomt dat u geconfronteerd wordt met onverwachte kosten door misbruik, met het openbaar raken van vertrouwelijke informatie of zelfs met het uitvallen van uw telefoon. Indien u gebruik maakt van een dean sip trunk of dean isdn, raadpleeg dan het document “veilig bellen met dean sip trunk & dean isdn”.
2 waarom worden telefooncentrales misbruikt?
Voor kwaadwillende zijn er meerdere redenen om een telefooncentrale te misbruiken, waaronder:
“Gratis” bellen naar dure bestemmingen
Bij deze vorm van misbruik verkrijgt een kwaadwillende toegang tot de telefooncentrale en worden telefoonnummers doorgeschakeld naar dure internationale nummers. Indien nu het doorgeschakelde (Nederlandse) telefoonnummer wordt gebeld, wordt de oproep doorgeschakeld naar het dure internationale nummer. De getroffen telefooncentrale wordt vervolgens door kwaadwillende of malafide belhuizen gebruikt om “gratis” naar deze nummers te kunnen bellen. De schade kan oplopen tot vele duizenden euro’s.
Inkomstengeneratie door bellen naar dure 0900 nummers
Bij deze vorm van misbruik opent een kwaadwillende (al dan niet via een stroman) een 0900 nummer of een buitenlands “premium” nummer. Indien dit dure nummer wordt gebeld, ontvangt de malafide eigenaar van het nummer voor elke minuut dat er wordt gebeld een geldbedrag. Dit bedrag kan oplopen tot wel € 0,70 per minuut, terwijl de beller (de eigenaar van de getroffen telefooncentrale) tot wel € 1,00 kan betalen. De malafide nummerhouder laat zoveel mogelijk telefooncentrales hacken en laat deze zoveel mogelijk bellen naar zijn 0900 nummer. Ook hier kan schade oplopen tot vele duizenden euro’s.
3 waar zit het risico?
Cloud telefooncentrales zijn bij tal van bedrijven, van klein tot groot, te vinden. Sommige functies van cloud telefooncentrales bieden mogelijkheden voor hackers om in te breken, enkele voorbeelden hiervan zijn:
- Beheerportal
- Diefstal van accountgegevens van IP-telefoons
- Automatische Telefoniste/Interactive Voice Response (IVR) systemen – hiermee kunnen inkomende oproepen via één keuzemenu worden doorverbonden, bijvoorbeeld: toets 1 voor de afdeling verkoop, toets 2 voor de afdeling support, etc.
- Doorschakelingen – hiermee kunnen oproepen naar een toestel doorgeschakeld worden naar een vooraf ingesteld nummer.
Uw cloud telefooncentrale is altijd verbonden met het internet, om te kunnen bellen en ook om via de beheerportal internetinstellingen aan uw cloud telefooncentrale te kunnen wijzigen.
4 aanvalsmethoden
Kwaadwillende zijn vaak professionals die beschikken over uiterst geavanceerde middelen om in te breken op telefooncentrales. Hierbij gebruiken zij onder meer de volgende methoden.
4.1 inbreken op de beheerportal van de cloud telefoniecentrale
Uw cloud telefooncentrale beschikt over een beheerportal die via het internet toegankelijk is. Indien kwaadwillende toegang weten te verkrijgen, kunnen zij uw cloud telefooncentrale zodanig configureren dat het kan worden gebruikt voor de eerder genoemde vormen van misbruik.
4.2 verkrijgen van de accountgegevens van IP-telefoons
Op uw cloud telefooncentrale worden IP-telefoons aangesloten. Deze IP-telefoons worden via een “account” dat bestaat uit een gebruikersnaam en een wachtwoord aangemeld. Kwaadwillende proberen de beschikking te krijgen over de accountgegevens van IP-telefoons om op die manier de controle te krijgen over de telefoon om vervolgens te kunnen bellen naar dure bestemmingen of 0900 nummers.
4.3 automatische telefoniste/IVR of keuzemenu
Het is mogelijk om via de Automatische Telefoniste (ook wel Interactive Voice Response systeem genoemd) doorverbonden te worden met een telefoonnummer buiten uw organisatie. Dit is handig wanneer u bijvoorbeeld buiten kantooruren uw klanten voor urgente oproepen de keuze wilt bieden om te worden doorverbonden met de mobiele telefoon van de dienstdoende medewerker. Kwaadwillende die toegang hebben tot de beheerportal kunnen dit nummer aanpassen en inbellen op de automatische telefonistedienst en vervolgens extern bellen en uw organisatie op kosten jagen.
4.4 doorschakelen
Kwaadwillende, die bijvoorbeeld via de beheerportal inbreken op uw cloud telefooncentrale kunnen deze opnieuw configureren. Ze kunnen bijvoorbeeld een toestelnummer doorschakelen naar een internationaal of premium tarief-nummer. Een andere mogelijkheid is dat kwaadwillende medewerkers een toestelnummer (meestal ‘s avonds of in het weekend of tijdens de vakantie) doorschakelen naar een internationaal of premium tarief-nummer.
4.5 social engineering
Social engineering is het onder valse voorwendselen verkrijgen van informatie of privileges om misbruik te plegen. Medewerkers kunnen bijvoorbeeld worden overgehaald gebruikersnamen en wachtwoorden af te geven, bijvoorbeeld door een kwaadwillende die zich voordoet als een onderhoudstechnicus. Met deze informatie kan de kwaadwillende toegang verkrijgen tot de cloud telefooncentrale.
5 preventie
5.1 algemeen
Het beveiligen van uw cloud telefooncentrale start met het aanwijzen van een ‘eigenaar’ die eindverantwoordelijk is voor de beveiliging ervan. De ervaring leert dat bij misbruik iedereen verwachtte dat een ander verantwoordelijk is.
Een zeer effectieve basismaatregel om fraude tegen te gaan is om dié functies die niet per sé nodig zijn (bijvoorbeeld bellen naar 0900 nummer en mogelijk internationale nummers) te blokkeren.
Ook door de volgende algemene regels toe te passen kunt u het risico op fraude aanmerkelijk verkleinen:
- Zorg dat er een telefoonbeleid is voor uw organisatie en zorg dat het bij alle medewerkers bekend wordt gemaakt. Geef medewerkers alleen de mogelijkheden die ze nodig hebben. Blokkeer internationaal bellen voor personen die dat niet per sé nodig hebben;
- Wanneer een medewerker het bedrijf verlaat, zorg dat dat zijn/haar toestel en andere instellingen worden opgeheven;
- Schakel niet-toegewezen toestellen uit. Maak gebruik van periodieke controles om ongebruikte toestellen in kaart te brengen en uit te schakelen.
5.2 internet
Uw cloud telefooncentrale maakt gebruik van het internet. Het is aan te raden gebruik te maken van een door dean one geleverde internetverbinding. Een dean one verbinding wordt geleverd met een beveiligde router en wordt aangesloten op het beveiligde dean one netwerk. Bijkomend voordeel is dat dean one de kwaliteit van gesprekken via een dean one verbinding garandeert. Deze verbinding is bovendien afgeschermd van het publieke internet.
Indien u toch gebruik wenst te maken van een verbinding van derden, zorg er dan voor dat uw cloud telefooncentrale wordt beschermd door een firewall en dat de router beschermd is met een sterk wachtwoord. Neem voor specifieke firewall regels contact op met uw telecomleverancier of met dean one!
5.3 accountgegevens IP-telefoons
De accountgegevens van een IP-telefoon zijn net zo waardevol als een bankpas met pincode. Kwaadwillende kunnen met de combinatie van een gebruikersnaam en een wachtwoord een IP-telefoon aanmelden op uw cloud telefooncentrale en zo bellen naar dure bestemmingen of 0900 nummers. Zorg er dus voor dat deze accountgegevens niet in verkeerde handen komen.
Enkele tips:
- Gebruik sterke gebruikersnamen en wachtwoorden. Dit zijn bijvoorbeeld combinaties van hoofdletters, kleine letters, speciale tekens zoals !#$& en wachtwoorden van minimaal 12 tekens lengte.
- Verstuur gebruikersnaam en wachtwoord bij voorkeur nooit via e-mail. Indien dit onverhoopt niet anders kan, verstuur dan twee e-mails, één met de gebruikersnaam en één met het wachtwoord. Nog veiliger is om een ander medium te gebruiker, bijvoorbeeld de gebruikersnaam per e-mail en het wachtwoord in een Whatsapp bericht;
- Schrijf gebruikersnaam en wachtwoord nooit op. Papier kan blijven slingeren en in verkeerde handen komen;
- Indien u toestaat dat medewerkers een IP-telefoon mee naar huis nemen om thuis te kunnen werken, zorg dan ook dat de internetverbinding van uw medewerker afdoende beveiligd is;
- Gebruik Softphones niet op publieke wifinetwerken
5.4 beheerportal
Om de kwetsbaarheid van onderhoudsfuncties te beperken, gaat u als volgt te werk:
- Gebruik sterke wachtwoorden. Dit zijn bijvoorbeeld combinaties van hoofdletters, kleine letters, speciale tekens zoals !#$& en wachtwoorden van minimaal 12 tekens lengte.
- Schrijf gebruikersnaam en wachtwoord nooit op. Papier kan blijven slingeren en in verkeerde handen komen;
- Indien de persoon die verantwoordelijk is voor het beheer van uw cloud telefooncentrale uit dienst gaat, wijzig dan het wachtwoord van de beheerportal.
- Ga niet verder wanneer u in uw browser geen groen slotje ziet in de adresbalk of wanneer u een melding krijgt over een ongeldig certificaat.
6 ten slotte
Zoals eerder aangegeven is het goed een ‘eigenaar’ aan te wijzen die eindverantwoordelijk is voor de beveiliging van uw cloud telefooncentrale. Voer een periodieke beveiligingscontrole uit om er zeker van te zijn dat de ingevoerde beveiligingsmaatregelen functioneren. Wanneer u alle aanbevelingen opvolgt zult u het risico op misbruik aanmerkelijk beperken.
Mogelijke indicatoren voor fraudepogingen zijn:
- IP-telefoons die niet meer kunnen bellen of “offline” zijn.
- U krijgt geen toegang meer tot de beheerportal.
Neem in geval van twijfel zo snel mogelijk contact op met uw telecomleverancier of met dean one!