Conectar qualquer tipo de dispositivo a uma rede vinculada à Internet apresenta um elemento de risco. De fato, quanto mais dispositivos conectados você tiver, maior será o risco. Esse problema foi destacado pela recente proliferação de dispositivos da Internet das Coisas, mas se aplica igualmente à disseminação de sistemas de comunicação de voz baseados em VoIP.
Os ataques de VoIP estão aumentando; como a tecnologia usa a mesma rede para o tráfego de voz e dados, existe a possibilidade de um hacker obter acesso à sua rede por meio de uma conexão por telefone IP. Muitos sistemas também se integram aos smartphones, deixando em aberto outra avenida potencial de ataque.
Se você estiver migrando para o VoIP para aproveitar as tarifas grossistas de terminação de VoIP de especialistas como o IDT Express, precisará estar ciente das ameaças em potencial e do que pode fazer sobre elas.
Planos de ataque
O VoIP pode usar vários protocolos de comunicação diferentes. O mais comum é o SIP - que, sem surpresa, também é o mais comprometido - mas também há o H225, bem como sistemas proprietários, incluindo o SCCP da Cisco.
O meio exato de ataque varia de acordo com o protocolo em uso, mas eles tendem a ter objetivos comuns. Chamadas maliciosas podem ser usadas como uma forma de ataque DDoS para sobrecarregar e tentar derrubar a rede. Isso pode ser um fim em si mesmo, interromper os negócios ou exigir um resgate, mas também pode ser usado como um meio de distrair-se de outro ataque à rede com a intenção de roubar dados ou introduzir malware.
Os invasores tentarão obter o máximo possível de informações sobre o seu sistema VoIP, a quantidade de números em uso, quantas extensões existem e assim por diante. Eles podem usar essas informações para bombardear seu sistema com chamadas de spam ou, mais provavelmente, vender seus detalhes para centrais de atendimento não autorizadas. Também é possível que eles tentem obter acesso ao seu sistema para fazer chamadas em sua conta para que você pague a conta.
Isso é conhecido como 'fraude de pedágio', mas pode ir muito além do que permitir que hackers façam chamadas não autorizadas. Com acesso suficiente à sua rede, eles podem até configurar um PBX hospedado 'fantasma' extra, permitindo que eles façam muitas chamadas falsas pelas quais você acaba pagando.
Como se proteger
Então, analisamos alguns dos motivos comuns para atacar sistemas VoIP. Mas o que você pode fazer para se proteger deles? Muitos profissionais de segurança agora acreditam que os ataques à rede são uma questão de 'quando' e não de 'se'. Em muitos casos, a vida dos invasores é facilitada graças a configurações incorretas e políticas de segurança mal aplicadas.
Muitas das ações que você pode fazer para proteger seu sistema de VoIP são simples. Usar senhas fortes, por exemplo, é essencial. Nunca deixe a senha padrão definida em nenhum telefone ou outro dispositivo e garanta que os funcionários sempre usem seus próprios códigos de acesso e não os compartilhem com mais ninguém. Evite senhas fracas, como o nome da sua empresa, e certifique-se de aplicar uma combinação de caracteres maiúsculos e minúsculos e números para dificultar a quebra de senhas.
As chamadas VoIP são realmente mais difíceis de interceptar do que as chamadas PSTN à moda antiga. No entanto, se você estiver preocupado com a exposição de informações confidenciais, também poderá criptografar o tráfego da rede para que, se os dados da chamada forem interceptados, eles permaneçam inúteis para o invasor. Talvez você já tenha a capacidade de fazer isso incorporado ao seu roteador ou firewall, portanto, pode ser apenas um caso de ativação da criptografia.
Se você tem funcionários acessando seu sistema VoIP de fora - em dispositivos móveis ou quando trabalhando em casa - você pode querer considerar o uso de uma VPN. Isso cria um 'túnel' seguro através da Internet pública para que suas informações não possam ser interceptadas e permite que funcionários remotos acessem sua rede como se estivessem no mesmo prédio.
Erros na configuração geralmente podem levar a vulnerabilidades e elas são facilmente ignoradas. Portanto, é importante que você teste sua rede para encontrar os pontos fracos que você pode solucionar conforme necessário. Se você não tem a capacidade de fazer isso sozinho, há especialistas que podem fazer isso por você.
Finalmente, não esqueça sua equipe. Garantir que as pessoas sejam treinadas adequadamente no uso do sistema e com segurança é um passo vital para garantir que seu sistema VoIP e toda a sua rede permaneçam seguros.
Tomar medidas agora para garantir que sua rede esteja protegida é muito preferível a ter que recolher os pedaços de uma violação de dados - com todos os danos potenciais à reputação e financeiros que isso acarreta - em um estágio posterior.