Gekraakte telefooncentrale kost ondernemer NZ 17.000 euro
Een Nieuw-Zeelandse ondernemer moet waarschijnlijk 17.000 euro betalen nadat criminelen via een standaard wachtwoord toegang tot zijn bedrijfstelefooncentrale kregen en er vervolgens internationale telefoongesprekken via lieten lopen, wat voor een torenhoge rekening zorgde.
Volgens ondernemer Alan Ray was het standaardwachtwoord '0000' tijdens de installatie van het PABX-systeem door zijn telecomprovider niet gewijzigd. "De standaardwachtwoorden zijn zeer eenvoudig om te achterhalen, aangezien het algemeen bekend is wat de verschillende PABX-merken als wachtwoord gebruiken", aldus Ray tegenover Sun Live.
In een periode van slechts twee dagen werd er via het gekraakte voicemailsysteem voor 17.000 euro aan gesprekken gerouteerd. Ray ontdekte de fraude pas na twee maanden. Inmiddels zijn alle voicemaildiensten van de centrale verwijderd. Op dit moment is de ondernemer nog in gesprek met zijn telecomprovider om te kijken wat er met de rekening kan worden gedaan, maar hij zou al zijn verteld dat hij voor de kosten verantwoordelijk is.
Ik werk bij een beveiliging bedrijf en kan je uit een recent incident vertellen dat dit helaas wel het geval is. In mijn voorbeeld was de schade gelukkig beperkt voor de klant. Echter vertelde de vriendelijke helpdesk van de provider dat dit gemiddeld 5 ondernemers per week overkomt met een gemiddelde rekening van 2200 euro. En je bent geheel zelf aansprakelijk!
een speciaal nummer konden bellen en dan na ingave van wat codes bijvoorbeeld hun voicemail konden terugluisteren, hun
aanwezig/afwezig status konden aanpassen, en: hun telefoontjes konden doorschakelen naar een ander nummer.
Ik heb daar van de zijlijn de zorg geuit dat dit wel eens heel onveilig zou kunnen zijn en heel duur zou kunnen uitpakken,
maar het bleek al snel dat het grootste deel van de medewerkers van de leverancier dit maar gezeur vond en dat dit in de
praktijk nooit een probleem was. Er was er EEN die het helemaal met mij eens was en verschillende voorbeelden gaf van
gevallen waarin dit fout gegaan was. Er was zelfs een systeempincode waarmee je nog meer kon en die in de praktijk
nooit veranderd werd, en niemand was er zeker van dat er niet ook nog een fabrikantpincode was die we niet wisten en
niet konden veranderen.
Ik heb het aan de orde gesteld bij de verantwoordelijken maar zoals het meestal gaat wordt dit soort input van techneuten
toch nooit echt serieus verwerkt, het gaat ten onder in het enthousiasme over de prachtige nieuwe centrale en hoe die de
bereikbaarheid geweldig verbeterd heeft. Verkopers hoor je dan ook helemaal niet over dit soort issues.
Die bewuste medewerker heeft nog wel wat instellinkjes veranderd om het allemaal wat meer dicht te timmeren, maar het
zou me niks verbazen als er nog steeds een lek in zit.
Als ik er voor verantwoordelijk was dan zouden dat soort interfaces niet naar buiten open staan...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
