Angreifer, die im Besitz korrekter Zugangsdaten zu SIP-Accounts von Endgeräten sind, können durch Anrufe auf teure Servicerufnummern im Ausland schnell mehrere zehntausend Euro Schaden verursachen.

Aber wie kommen Angreifer an gültige Zugangsdaten?
Angreifer können diese beispielsweise aus bereits konfigurierten Endgeräten oder aus mit Malware infizierten oder gestohlenen PCs auslesen. Je nach technischen Möglichkeiten können sie diese auch aus unverschlüsselten SIP-Verbindungen extrahieren.
Vereinzelt gelingt es Angreifern auch, sich als eines Ihrer Endgeräte auszugeben und sich im Rahmen der Autoprovisionierung Zugangsdaten übermitteln zu lassen. Oder man injiziert JavaScript-Code in Websites, der sich beim öffnen der Seiten, mit den bekannten Zugangsdaten an der Telefonanlage anmeldet und lostelefoniert.

Fluxpunkt AntiFraud  erkennt ungewöhnliche Anrufversuche und schützt selbst dann, wenn die Sicherheit Ihrer SIP-Kennwörter kompromittiert wurde. Wird ein ungewöhnlicher Anrufversuch erkannt, wird der Anrufer nach einem Kennwort gefragt, welches am Telefon einzugeben ist. Nur bei erfolgreicher Eingabe wird der Anruf ausgeführt. Nach dreimaliger Falscheingabe wird der Anruf abgebrochen und eine Warnemail verschickt.

Das Kennwort ist vom Administrator konfigurierbar und kann den Mitarbeitern mitgeteilt werden. Nach Aktivierung des Moduls ist an jedem Endgerät beim ersten Anruf einmalig das Kennwort einzugeben. Das Modul lernt bestimmte Endgeräteeigenschaften (Endgeräte-IP-Adresse, Firmware, Telefontyp,...). Ändert sich eine Eigenschaft, muß das Kennwort erneut eingegeben werden. Solange die Parameter gleich bleiben, ist für Folgeanrufe keine Kennworteingabe notwendig – der Komfort wird somit nicht beeinträchtigt.

Bei Auffälligkeiten beginnt das Modul mit mehrstufigen Gegenmaßnahmen:

1. Stufe: Beendigung des ausgehenden Anrufs
2. Stufe: Sperren der auffälligen IP-Adresse in der STARFACE Firewall
3. Stufe: Deaktivierung des auffälligen SIP-Accounts
4. Stufe: Deaktivierung der STARFACE Autoprovisionierung

Attackers who are in possession of correct SIP account credentials can quickly cause tens of thousands of euros in damage by calling expensive service numbers abroad.

But how do attackers get valid access data?
Attackers can, for example, extract them from already configured terminal devices or from malware-infected or stolen PCs. Depending on their technical possibilities, they can also extract them from unencrypted SIP connections.
Occasionally, attackers also manage to pretend to be one of your end devices and have access data transmitted to them as part of an autoprovisioning process. Or they inject JavaScript code into websites, which logs on to the telephone system with the known access data when the pages are opened and makes a call.

Fluxpunkt AntiFraud detects unusual call attempts and protects even if the security of your SIP passwords has been compromised. If an unusual call attempt is detected, the caller is asked for a password to be entered on the phone. The call is only executed if the caller is authenticated successfully. After three incorrect authentication attempts, the call is aborted and a warning e-mail is sent.

The password is configurable by the administrator and can be communicated to employees. Once the module has been activated, the password must be entered once on each terminal device for the first call. The module learns certain terminal device properties (terminal device IP address, firmware, telephone type, ...). If a property changes, the password must be entered again. As long as the parameters remain the same, no password entry is required for subsequent calls - convenience is not impaired.

In the event of anomalies, the module begins with multi-stage countermeasures:

1. Step: Ending the outgoing call
2. Step: Blocking the conspicuous IP address in the STARFACE firewall
3. Step: Deactivation of the conspicuous SIP account
4. Step: Deactivation of STARFACE autoprovisioning