Les attaquants qui sont en possession de données d'accès correctes aux comptes SIP des terminaux peuvent rapidement causer des dizaines de milliers d'euros de dommages en appelant des numéros de service coûteux à l'étranger. Mais comment les attaquants peuvent-ils obtenir des données d'accès valides ? Les attaquants peuvent les lire, par exemple, à partir de périphériques déjà configurés ou de PC infectés par des logiciels malveillants ou volés. Selon les possibilités techniques, ils peuvent également les extraire des connexions SIP non cryptées. Parfois, les attaquants réussissent aussi à faire semblant d'être l'un de vos terminaux et à se faire transmettre des données d'accès dans le cadre de l'autoprovisioning. Ou vous injectez du code JavaScript dans des sites Web qui se connectent au système téléphonique avec les données d'accès connues lorsque les pages sont ouvertes et passent un appel téléphonique. Fluxpunkt AntiFraud détecte les tentatives d'appel inhabituelles et protège même si la sécurité de vos mots de passe SIP a été compromise. Si une tentative d'appel inhabituelle est détectée, l'appelant est invité à entrer un mot de passe sur le téléphone. L'appel n'est exécuté que si le mot de passe a été saisi avec succès. Si le mauvais mot de passe est entré trois fois, l'appel est annulé et un e-mail d'avertissement est envoyé. Le mot de passe peut être configuré par l'administrateur et communiqué aux employés. Une fois le module activé, le mot de passe doit être entré une fois sur chaque terminal pour le premier appel. Le module apprend certaines propriétés du terminal (adresse IP du terminal, firmware, type de téléphone,...). Si une propriété change, le mot de passe doit être saisi à nouveau. Tant que les paramètres restent les mêmes, aucune saisie de mot de passe n'est nécessaire pour les appels ultérieurs, ce qui ne nuit pas au confort. En cas d'anomalies, le module commence par des contre-mesures à plusieurs niveaux : - Étape : Fin de l'appel sortant
- Etape : blocage de l'adresse IP suspecte dans le pare-feu STARFACE (pour éviter l'essai des PIN)
- Etape : Désactivation du compte SIP suspect (pour contrer les attaquants qui changent leur adresse IP en réponse)
- Etape : Désactivation de l'autoprovisionnement STARFACE (pour empêcher les attaquants d'avoir accès à de nouvelles informations d'identification)
|