Υπάρχει ένα σύστημα που να μην το έχουν παραβιάσει οι hackers τους τελευταίους μήνες; Μήπως με αφορμή αυτά τα γεγονότα πρέπει να ξυπνήσουμε και να καταλάβουμε ότι δεν υπάρχουν απαραβίαστες βάσεις δεδομένων; Μήπως όλα αυτά τα γεγονότα που εμφανίζονται αυτή την περίοδο (δείτε πολυάριθμες αναρτήσεις και στο blog μας) πρέπει να μας προβληματίσουν και για την βάση της "Κάρτας του Πολίτη" (ΚτΠ);;; Μετά από όλα αυτά ποιός νοιώθει ασφαλής που τα προσωπικά του δεδομένα θα είναι στην βάση της ΚτΠ;
Χάκερ σε PABX
Τι μας είπε η ΕΕΤΤ για τις πανάκριβες κλήσεις από ψηφιακά τηλεφωνικά κέντρα
Η ΕΕΤΤ εξέδωσε πρόσφατα σύσταση προς τις επιχειρήσεις που έχουν ψηφιακά τηλεφωνικά κέντρα, αφού παρατηρήθηκε το φαινόμενο της παραβίασής τους και η διενέργεια ακριβών κλήσεων που οδήγησαν σε υπέρογκους λογαριασμούς. Η ανεξάρτητη Αρχή διευκρινίζει στο tech.in.gr ότι έχει ήδη καταγράψει 10 περιστατικά από τις αρχές Σεπτεμβρίου και ότι οι λογαριασμοί φούσκωσαν από 1.000 έως και δεκάδες χιλιάδες ευρώ. Ωστόσο, το κενό ασφάλειας δεν έχει βρεθεί και η ΕΕΤΤ δηλώνει αναρμόδια για να το βρει. Ανάλογα περιστατικά παρουσιάστηκαν και σε άλλες χώρες.
«Η παραβίαση των ψηφιακών συστημάτων τηλεφωνικών κέντρων (PABX) επιχειρήσεων, η οποία επωφελείται κενών ασφαλείας, μπορεί να πραγματοποιηθεί από κακόβουλη επέμβαση εξωτερικών φορέων (hackers) με στόχο την πραγματοποίηση κλήσεων υψηλής χρέωσης (π.χ. προς χώρες του εξωτερικού με υψηλή χρέωση). Σε κάποιες περιπτώσεις, οι κλήσεις γίνονται όταν οι επιχειρήσεις είναι κλειστές, ενώ συχνά η ασυνήθιστα μεγάλη κίνηση πραγματοποιείται σε πολύ μικρό χρονικό διάστημα. Αποτέλεσμα αυτών είναι η δημιουργία υπέρογκων λογαριασμών τηλεφωνίας που οι επιχειρήσεις καλούνται να πληρώσουν στον πάροχο τηλεφωνίας τους.
Ως εκ τούτου, η ΕΕΤΤ συνιστά στις επιχειρήσεις που διαθέτουν ψηφιακά τηλεφωνικά κέντρα τα εξής:
Να επικοινωνήσουν με τον προμηθευτή του τηλεφωνικού τους κέντρου/συστήματος προκειμένου να επιβεβαιώσουν ότι το λογισμικό που χρησιμοποιούν έχει ενημερωθεί με τις τελευταίες αναβαθμίσεις για την αποφυγή μη εξουσιοδοτημένης πρόσβασης και ότι έχουν τεθεί σε εφαρμογή οι πλέον επικαιροποιημένοι και αποτελεσματικοί μηχανισμοί ασφαλείας.
Να επικοινωνήσουν άμεσα με τον πάροχο τηλεφωνίας τους, εάν εντοπίσουν ασυνήθιστη αύξηση στη χρέωση του λογαριασμού τους. Στην περίπτωση όπου εντοπίζεται κακόβουλη κίνηση, μπορούν να ζητήσουν από τον πάροχο, τη φραγή της εξερχόμενης κίνησης προς τους επίμαχους προορισμούς. Τέλος, μπορούν να επικοινωνήσουν με το Τμήμα Ηλεκτρονικού Εγκλήματος της Ασφάλειας Αττικής.»
Το tech.in.gr ζήτησε από την ΕΕΤΤ να απαντήσει στα ερωτήματα που ακολουθούν και έλαβε τις παρακάτω απαντήσεις:
1.Υπάρχουν συγκεκριμένα περιστατικά παραβιάσεων;
Στην ΕΕΤΤ υποβλήθηκαν καταγγελίες επιχειρήσεων οι οποίες χρεώθηκαν με μεγάλα ποσά, λόγω κλήσεων που έγιναν από τα τηλεφωνικά τους κέντρα προς ακριβούς προορισμούς. Οι επιχειρήσεις δηλώνουν ότι οι κλήσεις έγιναν εν αγνοία τους, ενώ σε κάποιες περιπτώσεις, εκτός ωρών εργασίας.
2.Πόσο συχνό φαινόμενο είναι ώστε τελικά να οδηγηθεί η Αρχή στην έκδοση σχετικής σύστασης;
Από τα τέλη Σεπτεμβρίου ξεκίνησε η υποβολή των καταγγελιών στην ΕΕΤΤ, ενώ σήμερα έχουν συνολικά υποβληθεί περίπου 10 καταγγελίες. Οι καταγγελίες αυτές αφορούν αρκετά υψηλά ποσά (από 1.000 μέχρι δεκάδες χιλιάδες ευρώ).
Επίσης, παρόμοιο φαινόμενο παρουσιάστηκε την ίδια χρονική περίοδο σε άλλες χώρες της Ευρώπης, αλλά και διεθνώς. Η ΕΕΤΤ αξιολογώντας τα μέχρι τώρα δεδομένα θεώρησε σημαντικό να ενημερώσει το γρηγορότερο δυνατόν τα εμπλεκόμενα μέρη, έτσι ώστε να λάβουν προληπτικά τα κατάλληλα μέτρα.
3.Πού είναι το κενό ασφαλείας; Αφορά συγκεκριμένα συστήματα;
Η παραβίαση μπορεί να επωφελείται διαφόρων κενών ασφάλειας που παρουσιάζονται στα συστήματα τηλεφωνικών κέντρων των επιχειρήσεων. Ο τύπος των συστημάτων δεν αποτελεί αντικείμενο εξέτασης από την ΕΕΤΤ. Ωστόσο, επισημαίνεται ότι είναι σημαντικό να εφαρμόζονται επικαιροποιημένοι και αποτελεσματικοί μηχανισμοί ασφάλειας για την προστασία των συστημάτων τηλεφωνικών κέντρων από τέτοιες απειλές. Οι επιχειρήσεις πρέπει να απευθυνθούν στους προμηθευτές/εγκαταστάτες των τηλεφωνικών κέντρων τους για την επικαιροποίηση των συστημάτων τους αλλά και για την ενημέρωσή τους όσον αφορά το πώς μπορούν καλύτερα να προστατεύονται.
4.Προς ποιους προορισμούς γίνονται οι κλήσεις υψηλής χρέωσης;
Οι κλήσεις γίνονται προς χώρες με υψηλή χρέωση (π.χ. χώρες Αφρικής, Κούβα, Γουινέα Μπισάου, Αζερμπαϊτζάν) ή ακόμα προς κινητά δίκτυα χωρών εξωτερικού.
Τέλος, επισημαίνεται ότι την ευθύνη για την προστασία του τερματικού του εξοπλισμού έχει ο ίδιος ο κάτοχος του τηλεφωνικού κέντρου. Ωστόσο, σε κάθε περίπτωση μπορεί να απευθυνθεί στο Τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος για τον εντοπισμό των χάκερ.
Ανθή Παναγιωτάκη
http://tech.in.gr/news/article/?aid=1231070573
Hackers και σε ψηφιακά συστήματα τηλεφωνικών κέντρων ιδιωτικών επιχειρήσεων!!!
0 σχόλια:
Δημοσίευση σχολίου