Furto di servizio e di Identità

Il furto di servizio può essere esemplificato da frodi, che consistono nel rubare il servizio da un fornitore o utilizzare un servizio facendone pagare il costo ad un'altra persona. La crittografia non è molto comune in SIP, che controlla l'autenticazione su chiamate VoIP, per cui le credenziali di un utente sono vulnerabili al furto.

L'intercettazione avviene come nella maggior parte degli attacchi hacker dove gli hacher rubano le credenziali e altre informazioni. Attraverso l'intercettazione, si possono ottenere nomi, password e numeri di telefono, consentendo di acquisire il controllo della segreteria telefonica, del piano di chiamata, dell'inoltro delle chiamate e delle informazioni di fatturazione. Questo porta in seguito al furto di servizio.

Rubare credenziali per effettuare chiamate senza pagare non è l'unica ragione del furto di identità. Molti hacker lo fanno per ottenere informazioni importanti come i dati commerciali. Naturalmente possono anche accedere a elementi riservati come la casella vocale, fare cose personali come modificare un numero di inoltro delle chiamate.

DoS (Denial of Service)

Un attacco DoS è un attacco a una rete o ad un dispositivo al fine di rendere inutilizzabile il servizio o la stessa connettività. Può essere fatto impegnando la larghezza di banda o sovraccaricando la rete e le risorse interne della stessa.

Nel VoIP, gli attacchi DoS possono essere eseguiti inondando l'obiettivo dell'attacco con messaggi di segnalazione di chiamata SIP non validi, degradando così il servizio. Ciò causa la caduta prematura delle chiamate o il blocco totale delle stesse.

Perché qualcuno potrebbe lanciare un attacco DoS? Una volta attaccato l'obiettivo, ed il servizio cessa di operare, l'aggressore può ottenere il controllo remoto delle strutture di gestione del sistema.

Call Tampering (Manomissione delle Chiamate)

Questo tipo di attacco comporta la manomissione di una chiamata in corso al fine, per esempio, di degradare la qualità della chiamata iniettando pacchetti di rumore nel flusso di comunicazione. Per far ciò è sufficiente che chi effettua l'attacco trattenga la consegna dei pacchetti in modo che la comunicazione sia intermittente ed i partecipanti incontrino lunghi periodi di silenzio durante la chiamata.

Vishing

Vishing è un'altra parola che indica il phishing da VoIP, in questo caso un hacker chiama un utente identificandosi per un'organizzazione affidabile (ad esempio la sua banca) e richiede informazioni riservate e spesso critiche.

Virus e malware

L'utilizzo del VoIP comporta l'uso di softphones e software che sono vulnerabili ad attacchi di worm, virus e malware, proprio come qualsiasi applicazione Internet. Poiché queste applicazioni softphone vengono eseguite su sistemi utente come PC e PDA, sono esposti e vulnerabili agli attacchi di codice dannoso nelle applicazioni vocali.

SPIT (Spam su Internet)

Lo spamming è un fenomeno noto agli utilizzatori di posta elettronica. Attraverso lo spamming si inviano email a persone contro la loro volontà. Nei sistemi VOIP ciò può accadere con l'inoltro di chiamate di vendita online. Lo Spamming nel VoIP non è ancora molto comune, ma sta cominciando ad emergere, soprattutto con l'aumento del VoIP come strumento industriale.

Ogni account VoIP dispone di un indirizzo IP associato. È facile per gli spammer inviare i loro messaggi vocali (voicemails) a migliaia di indirizzi IP. Ciò comporterà un sovraccarico del sistema di messaggistica vocale, persino fino al punto da interromperlo. Con lo spamming, il sistema di casella vocale sarà intasato e richiederà più spazio e strumenti per la gestione dei messaggi vocali. In situazioni estreme, i messaggi spam possono trasportare virus e spyware.

Ciò ci porta ad un altra tipologia di SPIT, che è il "Phishing" su VoIP. Gli attacchi di phishing consistono nell'invio di un messaggio di segreteria telefonica a una persona, mascherandolo con informazioni provenienti da una azienda che risulti affidabile al destinatario, come una banca o un servizio di pagamento online, facendogli pensare che sia sicuro. La segreteria telefonica richiede solitamente dati riservati come password o numeri di carta di credito. Non è difficile immaginare il resto!

Attacchi "uomo-in-mezzo"

Il VoIP è particolarmente vulnerabile a questo tipo di attacchi, in cui l'attaccante intercetta il traffico dei messaggi SIP di segnalazione di chiamata e si maschera come chiamante alla parte chiamata o viceversa. Una volta che l'aggressore ha acquisito questa posizione, può trasferire le chiamate tramite un server di reindirizzamento.

Sistemi telefonici VOIP certificati

Il cliente che si affida a noi riceve la garanzia di installazioni realizzate con la certificazione delle protezioni di sicurezza attive. Infatti al termine dei lavori viene rilasciato un certificato di installazione in cui si elencano tutte le protezioni attivate. Ciò è possibile in quanto i centralini installati integrano un sistema Firewall dedicato alla rete VOIP che non sostituisce il firewall aziendale ma si affianca a quello aziendale. Non dimentichiamo, infatti, che oltre a proteggersi dagli accessi esterni, è necessario proteggersi dagli attacchi interni dovuti a cavalli di troia "Troyan" o virus "Malware" che attaccano postazioni interni alla rete LAN aziendale.