Die Corona-Pandemie hat dazu geführt, dass mehr Mitarbeiter denn je von zu Hause aus arbeiten. Dies hat zu einer verstärkten Nutzung von VoIP-Systemen zum Telefonieren geführt. So verzeichnete etwa Telefónica bereits im April 2020 anderthalb Mal so viel VoIP-Traffic wie sonst. Mit der stärkeren VoIP-Nutzung vergrößert sich auch die Angriffsfläche für Hacker - egal, ob die Systeme intern gewartet und betrieben oder an Drittanbieter ausgelagert werden.

VoIP als Risikofaktor im Unternehmen

Bei allen Vorteilen der IP-Telefonie sollte nicht vergessen werden, dass VoIP wie jede Netztechnologie angreifbar ist. Dazu zählen eine Reihe von potenziellen Störungen und Bedrohungen, wie etwa Denial of Service (DoS), Metadatendiebstahl, das Abfangen von Datenverkehr oder der Betrug mit kostenpflichtigen Rufnummern, bei denen hohe Gebühren anfallen. Angreifer können zudem ein unsicheres VoIP-System als Einstiegspunkt nutzen, etwa um sensible Netzwerke zu kompromittieren oder von böswilligen Aktivitäten an anderer Stelle abzulenken.

Trotz dieser Risiken erhalten VoIP-Systeme meist keine große Aufmerksamkeit von den IT-Abteilungen. Dabei beginnt die Gefahr bereits bei standardisierten oder gemeinsam genutzten Anmeldedaten. Bei der Suche nach Schwachstellen wird dies allerdings oft nicht erkannt oder leicht übersehen. Selbst wenn die VoIP-Infrastruktur eine Schlüsselrolle im Geschäftsbetrieb spielt, stellt sich die Frage, wie viele Unternehmen VoIP-Malware überhaupt bemerken würden.

Wie Kriminelle IP-Telefonie-Systeme ausnutzen

Die Fireeye-Division Mandiant Threat Intelligence stößt häufig auf Hacker, die mittels gestohlener Zugangsdaten versuchen, sich Zugang zu Benutzerkonten von VoIP-Administratoren zu verschaffen. Tools zur Sammlung von Anmeldedaten sind weithin zugänglich, sodass selbst Akteure ohne besondere Fachkenntnisse VoIP-Infrastrukturen angreifen können. Angesichts der Bandbreite an Möglichkeiten, VoIP-Systeme zu sabotieren, sollten die für Netzwerksicherheit Verantwortlichen folgende mögliche Folgen eines Angriffs berücksichtigen.

Metadaten- und Voicemail-Diebstahl

VoIP-Anrufsysteme erzeugen Sprachaufzeichnungen mit zugehörigen Metadaten, auf die es Angreifer mit Spionage- oder finanziell motivierten Absichten abgesehen haben. Im September 2020 entdeckten ESET-Forscher ein neues und seltenes Stück Linux-Malware mit dem Namen "CDRThief", das für Angriffe auf VoIP-Systeme eingesetzt wird, um die besagten Metadaten zu stehlen.

Microsoft wiederum berichtete im August 2019, dass APT28 versucht habe, VoIP-basierte Telefonsysteme sowie andere IoT-Geräte zu kompromittieren. Wir bei Mandiant beobachteten außerdem Aktivitäten, bei denen Varianten von FINSPY verwendet wurden, die in der Lage sind, VoIP-Dateiaufzeichnungen zu erfassen. In einem weiteren Angriff schickten Spionage-Akteure eine Phishing-E-Mail mit einer authentischen Voicemail-Nachricht, die möglicherweise vom VoIP-Dienst eines Unternehmens gestohlen wurde.

Call Pumping

"Call Pumping" ist eine Masche, die für Firmen mit kompromittierten VoIP-Systemen häufig zu einer Gefahr wird. Dabei tätigen Hacker von dem gekaperten Telefonsystem Anrufe bei gebührenpflichtigen Telefonnummern, die dem Anrufer in Rechnung gestellt werden. Der Angreifer registriert vorher eine gebührenpflichtige Rufnummer, meist im Ausland, um höhere Gebühren verlangen zu können, und treibt damit die Telefonrechnung seines Opfers in die Höhe. Erst kürzlich schätzte die Communications Fraud Control Association die Schäden, die im Zusammenhang mit dieser Betrugsmasche stehen, auf jährlich vier bis 6,1 Milliarden Dollar.

Diese Masche kann ein betroffenes Unternehmen in kurzer Zeit Millionen von Dollar an Gebühren kosten, weshalb dieses Verfahren für Cyberkriminelle wirtschaftlich besonders attraktiv ist. Zumal die Täter oft Nummerndienste wählen, bei denen wöchentlich abgerechnet und ausgezahlt wird, während die meisten Telefongesellschaften monatlich abrechnen. Auf diese Weise kann ein Angreifer erhebliche Kosten verursachen, bevor der Betrug überhaupt bemerkt wird.

DoS goes Telefonie

Eine andere Art der Manipulation sind sogenannte Telephony-Denial-of-Service-Angriffe (TDoS). Dabei verhindern gefälschte Anrufe, dass seriöse Anrufe durchgestellt werden. VoIP-Systeme sind außerdem potenziell anfällig für weitere Denial-of-Service-Formen - etwa gefälschte Einladungsanfragen oder Abwesenheitsnotizen, die das System überfluten.

Allerdings ist diese Angriffstechnik schwer zu übersehen und erregt daher schnell Aufmerksamkeit. Aber genau das wollen die Hacker: Während die IT-Abteilung mit dem offensichtlichen Problem beschäftigt ist, können die Angreifer in der Zwischenzeit an anderer Stelle unbemerkt weiteren Schaden anrichten.

Manipulation von Anrufen

Wenn ein Angreifer mittels eines Man-in-the-Middle-Angriffs (MitM) Anrufe manipulieren kann, hat er Einfluss auf fast jede telefonbasierende Aktivität, etwa mittels Vishing (sprachbasiertes Phishing) oder indem er telefonische Authentifizierungen umgeht. So kann beispielsweise ein Hacker mit Zugriff auf das Telefonsystem einer Bank eingehende Kundenanrufe in die von ihm gehackte Infrastruktur umleiten.

Unter dem Vorwand, sensible Daten zu benötigen, um die Kundenidentität zu bestätigen, kann er sich so den Zugriff auf Bankkonten ergaunern. In einem anderen Ansatz leitet der Hacker Anrufe des Geldinstituts an einen Kunden bezüglich einer Transaktion zu sich um und gibt sich selbst als der Kunde aus, um so sensible Informationen zu erhalten.

Erpressung: Die Zukunft des VoIP-Missbrauchs?

Die Kompromittierung der VoIP-Infrastruktur kann Hackern Zugang zu sensiblen Unternehmensinformationen verschaffen oder sie dazu befähigen, einen Denial-of-Service-Angriff vorzubereiten. In der Vergangenheit haben sie dies genutzt, um die betroffenen Unternehmen zu erpressen. Sichtbar wird dies an den Websites, die sensible Daten der Opfer von Lösegeldforderungen öffentlich zeigen. Sogar große Mengen an gestohlenen Gesprächsdaten können die Grundlage für Erpressungen bilden. Dank automatisierter Transkription und Verarbeitung von Audiodateien können die Cyberkriminellen sensible Geschäftsdaten immer schneller herausfiltern.

Wie Unternehmen Ihre IP-Telefonie schützen

Der erste und größte Schritt, um das Risiko solcher Angriffe zu reduzieren, ist, sich ernsthaft mit der IP-Telefonie als potenzielle Angriffsfläche auseinanderzusetzen. Unabhängig davon, ob sie intern oder von einem externen Anbieter verwaltet wird. Denn die VoIP-Infrastruktur ist eine Erweiterung der IT-Infrastruktur und als solche muss sie genauso kontrolliert, gewartet und überprüft werden wie jeder andere Bereich auch. So können Unternehmen ihre VoIP-Umgebung schützen:

• Die Firmware für VoIP-Telefone und -Infrastruktur-Hardware sollte regelmäßig gepatcht und Standard-Passwörter nach Inbetriebnahme geändert werden.

• Für den Zugriff auf VoIP-Konten sollte eine Multifaktor-Authentifizierung erforderlich sein, insbesondere für Konten mit Administratorrechten.

• Anrufe an internationale oder gebührenpflichtige Nummern sollten eingeschränkt sein, um Betrugsmaschen zu verhindern. Faktoren wie Dauer, Häufigkeit und Zeitpunkt von Telefonaten sollten auf Auffälligkeiten und Missbrauchsmuster hin überwacht werden.

• Der Betrieb von VoIP-Telefonen in einem separaten Netzwerk kann verhindern, dass über ein kompromittiertes Telefon der restliche Netzverkehr mitgelesen oder Zugang zu anderen Rechnern erlangt wird.

• Unternehmen sollten alternative Kommunikationswege zur Verfügung haben für den Fall, dass VoIP-Systeme aufgrund von TDoS-Aktivitäten oder anderen Denial-of-Service-Szenarien nicht verfügbar sind. (hi)