Comme si les secouristes n’étaient pas déjà surchargés : de plus en plus, les extorqueurs lancent des attaques débilitantes visant à submerger les réseaux téléphoniques des centres de communication d’urgence et du personnel, selon une alerte confidentielle publiée conjointement par le département de la Sécurité intérieure et le FBI.
Avertissement « TDos »
L’alerte, dont une copie a été obtenue par BreachTrace, avertit points de réponse de la sécurité publique (CASP) et les centres et le personnel de communication d’urgence au sujet d’un récent pic de soi-disant «déni de service téléphonique» (TDoS) attaques :
« Les informations reçues de plusieurs juridictions indiquent la possibilité d’attaques visant les systèmes téléphoniques d’entités du secteur public. Des dizaines d’attaques de ce type ont ciblé les lignes administratives du PSAP (et non la ligne d’urgence 911). Les auteurs de l’attaque ont lancé un volume élevé d’appels contre le réseau cible, empêchant le système de recevoir des appels légitimes. Ce type d’attaque est appelé attaque TDoS ou par déni de service téléphonique. Ces attaques se poursuivent. De nombreuses attaques similaires ont eu lieu visant diverses entreprises et entités publiques, y compris le secteur financier et d’autres intérêts publics d’opérations d’urgence, y compris les ambulances aériennes, les ambulances et les communications hospitalières.
Selon l’alerte, ces récentes attaques TDoS font partie d’un stratagème d’extorsion bizarre qui commence apparemment par un appel téléphonique à une organisation d’un individu prétendant représenter une société de recouvrement pour les prêts sur salaire. L’appelant a généralement un fort accent et demande à parler à un employé actuel ou ancien au sujet d’une dette impayée. À défaut d’obtenir un paiement d’un individu ou d’une organisation, l’auteur lance une attaque TDoS. L’organisation sera inondée d’un flux continu d’appels pendant une période de temps non spécifiée, mais longue.
Le DHS note que les attaques peuvent empêcher les appels entrants et/ou sortants de se terminer, et l’alerte suppose que les bureaux gouvernementaux/services d’urgence sont « ciblés » en raison de la nécessité de lignes téléphoniques fonctionnelles. L’alerte indique que les attaques suivent généralement une personne avec un fort accent exigeant le paiement de 5 000 $ de l’entreprise en raison de la défaillance d’un employé qui ne travaille plus au PSAP ou qui ne l’a jamais fait. L’alerte complète est republiée ici (PDF).
Une version beaucoup plus courte de cette alerte est parue dans janvier 2013 sur le site Internet de la Centre de plainte contre la criminalité sur Internet (IC3), qui a mis en garde contre une autre tournure de ces attaques TDoS : « L’autre tactique que les sujets utilisent maintenant pour convaincre la victime qu’un mandat d’arrêt existe pour elle consiste à usurper le numéro de téléphone d’un service de police lors de l’appel de la victime. Le sujet prétend qu’un mandat d’arrêt a été émis contre la victime pour défaut de remboursement du prêt. Afin que la police réponde réellement à la résidence de la victime, le sujet passe des appels répétés et harcelants au service de police local tout en usurpant le numéro de téléphone de la victime.
Aucune des alertes ne précise comment ces inondations d’appels sont effectuées, mais BreachTrace a présenté plusieurs histoires sur des services commerciaux dans le métro qui peuvent être loués pour lancer des attaques TDoS.
Image : SecureLogix
Selon un rapport récent à partir de SecureLogixune société qui vend des services de sécurité aux centres d’appels, des logiciels IP-PBX gratuits tels que Astérisqueainsi que des outils informatiques de génération d’appels et des Services SIPréduisent considérablement la barrière à l’entrée pour les attaquants du réseau vocal.
La société affirme que les attaques TDoS peuvent être difficiles à détecter, car l’attaquant change généralement l’ID de l’appelant à chaque appel. D’après leur rapport : « Cela rend très difficile, même pour les fournisseurs de services, la détection des attaques. À moins que ces attaques ne puissent être rapidement retracées jusqu’à un opérateur d’origine qui ne génère généralement pas beaucoup d’appels vers le centre de contact, elles sont très difficiles à différencier des appels légitimes. Les attaques passent également généralement par plusieurs fournisseurs de services, ce qui prend du temps pour remonter à la source. »
SecureLogix a déclaré que les attaques TDoS peuvent utiliser un contenu audio simple, y compris un bruit blanc ou un silence (qui pourrait être considéré comme un problème technique), un son en langue étrangère (représentant un utilisateur confus) ou répété Modèles DTMF.
« Ce sont des techniques simples, avec de futures attaques utilisant probablement d’autres types d’audio en mutation. À l’avenir, ces attaques seront beaucoup plus graves. En générant simplement plus d’appels ou en utilisant plus de points d’entrée au [target] réseau, beaucoup plus d’appels peuvent être générés, entraînant une attaque très coûteuse ou dégradant les performances d’un centre de contact, rendant l’accès indisponible pour les appelants légitimes et portant potentiellement atteinte à l’image de marque.