Στις πρώτες μέρες του VoIP, δεν υπήρχε μεγάλη ανησυχία για ζητήματα ασφαλείας που σχετίζονται με τη χρήση του. Οι άνθρωποι ασχολήθηκαν κυρίως με το κόστος, τη λειτουργικότητα και την αξιοπιστία του. Τώρα που το VoIP αποκτά ευρεία αποδοχή και γίνεται μια από τις κύριες τεχνολογίες επικοινωνιών, η ασφάλεια έχει γίνει ένα σημαντικό ζήτημα. Οι απειλές για την ασφάλεια προκαλούν ακόμη μεγαλύτερη ανησυχία όταν πιστεύουμε ότι το VoIP αντικαθιστά το παλαιότερο και πιο ασφαλές σύστημα επικοινωνίας του κόσμου – POTS (Plain Old Telephone System). Ας ρίξουμε μια ματιά στις απειλές που αντιμετωπίζουν οι χρήστες του VoIP.
Κλοπή ταυτότητας και υπηρεσίας
Φρικιασμός είναι ένας τύπος εισβολής που κλέβει την υπηρεσία από έναν πάροχο υπηρεσιών ή χρησιμοποιεί υπηρεσία ενώ μεταβιβάζει το κόστος σε άλλο άτομο. Η κρυπτογράφηση δεν είναι κοινή στο SIP, το οποίο ελέγχει τον έλεγχο ταυτότητας μέσω κλήσεων VoIP, επομένως τα διαπιστευτήρια χρήστη είναι ευάλωτα σε κλοπή.
Υποκλοπές είναι ο τρόπος με τον οποίο οι περισσότεροι χάκερ κλέβουν διαπιστευτήρια και άλλες πληροφορίες. Μέσω της υποκλοπής, ένα τρίτο μέρος μπορεί να αποκτήσει ονόματα, κωδικούς πρόσβασης και αριθμούς τηλεφώνου, επιτρέποντάς τους να αποκτήσουν τον έλεγχο του τηλεφωνητή, του προγράμματος κλήσεων, της προώθησης κλήσεων και των πληροφοριών χρέωσης. Αυτό οδηγεί σε κλοπή υπηρεσιών. Η κλοπή διαπιστευτηρίων για κλήσεις χωρίς πληρωμή δεν είναι ο μόνος λόγος πίσω από την κλοπή ταυτότητας. Οι κλέφτες το κάνουν για να πάρουν πολύτιμες πληροφορίες, όπως επιχειρηματικά δεδομένα. Ένας phreaker μπορεί να αλλάξει σχέδια και πακέτα κλήσεων και να προσθέσει περισσότερη πίστωση ή να κάνει κλήσεις χρησιμοποιώντας τον λογαριασμό του θύματος. Μπορεί επίσης να έχει πρόσβαση σε εμπιστευτικά στοιχεία όπως φωνητικό ταχυδρομείο και να κάνει προσωπικά πράγματα όπως να αλλάξει έναν αριθμό προώθησης κλήσεων.
Vishing
Το Vishing είναι μια άλλη λέξη για το VoIP Phishing, το οποίο περιλαμβάνει ένα συμβαλλόμενο μέρος που σας καλεί να παραπλανήσετε έναν αξιόπιστο οργανισμό (π.χ. την τράπεζά σας) και να ζητήσετε εμπιστευτικές και συχνά κρίσιμες πληροφορίες.
Ιοί και κακόβουλο λογισμικό
Η χρήση του VoIP που περιλαμβάνει softphone και λογισμικό είναι ευάλωτα σε worms, ιούς και κακόβουλα προγράμματα, όπως κάθε εφαρμογή Διαδικτύου. Η εκτέλεση σε συστήματα χρηστών όπως υπολογιστές και PDA εκθέτει εφαρμογές softphone σε κακόβουλες επιθέσεις κώδικα σε εφαρμογές φωνής.
DoS (Άρνηση υπηρεσίας)
Μια επίθεση DoS είναι μια επίθεση σε ένα δίκτυο ή μια συσκευή που αρνείται την υπηρεσία ή τη συνδεσιμότητα. Οι εισβολείς καταναλώνουν εύρος ζώνης ή υπερφορτώνουν το δίκτυο ή τους εσωτερικούς πόρους της συσκευής. Στο VoIP, οι επιθέσεις DoS πλημμυρίζουν έναν στόχο με περιττά μηνύματα σήματος κλήσεων SIP, υποβαθμίζοντας έτσι την υπηρεσία. Αυτό προκαλεί πρόωρη πτώση κλήσεων και διακοπεί η επεξεργασία κλήσεων. Γιατί κάποιος θα ξεκινήσει μια επίθεση DoS; Μόλις η υπηρεσία σταματήσει να λειτουργεί, ο εισβολέας μπορεί να αποκτήσει απομακρυσμένο έλεγχο των διοικητικών εγκαταστάσεων του συστήματος.
SPIT (Spamming μέσω διαδικτυακής τηλεφωνίας)
Εάν χρησιμοποιείτε τακτικά email, τότε πρέπει να γνωρίζετε τι είναι το spamming. Με απλά λόγια, το spamming στέλνει email σε άτομα κατά της θέλησής τους. Αυτά τα email είναι κυρίως διαδικτυακές κλήσεις πωλήσεων. Το spam στο VoIP γίνεται πιο διαδεδομένο, ειδικά με την εμφάνιση του VoIP ως βιομηχανικού εργαλείου. Κάθε λογαριασμός VoIP έχει μια συσχετισμένη διεύθυνση IP. Είναι εύκολο για τους spammers να στέλνουν τα μηνύματά τους (φωνητικά μηνύματα) σε χιλιάδες διευθύνσεις IP. Η φωνητική αποστολή, ως αποτέλεσμα, θα υποφέρει. Απαιτούνται ανεπιθύμητα μηνύματα με φωνητικά μηνύματα και περισσότερο χώρο, καθώς και καλύτερα εργαλεία διαχείρισης αυτόματου τηλεφωνητή. Τα μηνύματα ανεπιθύμητης αλληλογραφίας μπορούν επίσης να μεταφέρουν ιούς και spyware μαζί τους. Αυτό μας φέρνει σε μια άλλη γεύση του SPIT, που είναι το phishing μέσω του VoIP. Οι επιθέσεις ηλεκτρονικού ψαρέματος περιλαμβάνουν την αποστολή αυτόματου τηλεφωνητή σε ένα άτομο, το οποίο μεταμφιέζει με πληροφορίες από ένα αξιόπιστο μέρος στον παραλήπτη, όπως μια τράπεζα ή μια διαδικτυακή υπηρεσία πληρωμής, κάνοντάς τον να πιστεύει ότι είναι ασφαλής. Το φωνητικό ταχυδρομείο συνήθως ζητά εμπιστευτικά δεδομένα, όπως κωδικούς πρόσβασης ή αριθμούς πιστωτικών καρτών. Μπορείτε να φανταστείτε τα υπόλοιπα!
Καλέστε την παραβίαση
Η παραβίαση κλήσεων είναι μια επίθεση που περιλαμβάνει παραβίαση ενός τηλεφώνου σε εξέλιξη. Για παράδειγμα, ο εισβολέας μπορεί απλώς να χαλάσει την ποιότητα της κλήσης εισάγοντας πακέτα θορύβου στη ροή επικοινωνίας. Μπορεί επίσης να παρακρατήσει την παράδοση πακέτων έτσι ώστε η επικοινωνία να γίνει ανώμαλη και οι συμμετέχοντες να βιώσουν μακρές περιόδους σιωπής κατά τη διάρκεια της κλήσης.
Man-in-the-Middle επιθέσεις
Το VoIP είναι ιδιαίτερα ευάλωτο σε επιθέσεις man-in-the-middle, στις οποίες ο εισβολέας παρεμποδίζει την κυκλοφορία μηνυμάτων SIP κλήσης-σηματοδότησης και μεταμφιέζεται ως το καλούμενο μέρος στο καλούμενο μέρος ή το αντίστροφο. Μόλις ο εισβολέας αποκτήσει αυτήν τη θέση, μπορεί να εισβάλει κλήσεις μέσω διακομιστή ανακατεύθυνσης.