Account voipstunt piratato

Moderatore: phpBB Moderatori

Messaggioda dbartizan » ven giu 06, 2014 5:03 pm

Saluti a tutti,

in Aprile il mio account voipstunt.com é stato piratato. Mi hanno nottetempo svuotato il credito con poche telefonate su numeri a pagamento di Montecarlo.
La coincidenza temporale con il baco HeartBleed di OpenSSL mi é parsa sospetta per cui ho contattato DELLMONT Luxemburg chiedendo il rimborso. Mi hanno fatto un po di domande per sapere se ero una vittima di phishing/virus o credenziali rubate su altri siti e poi hanno rimborsato la ricarica (chapeau!).
Ho chiesto anche i log di accesso del mio conto (SIP e web) visto che vorrei sporgere denuncia, ma hanno palesemente glissato.

Qualcuno ha avuto problemi simili?

Simone
dbartizan
Beginner
Beginner
 
Messaggi: 44
Iscritto il: gio set 09, 2010 7:36 am
Ha ringraziato: 1 volta
Hai ringraziamenti: 0 volta

Messaggioda surfer » sab giu 07, 2014 8:10 pm

E qui viene fuori l'importanza delle password; avere password robuste, e non uguali su diversi siti, e login vari, comincia a diventare di vitale importanza. Si lo so diventa difficile gestirle; ma diventa essenziale imparare a farlo.

Se ne parla qui:
viewtopic.php?f=14&t=15482
Avatar utente
surfer
Guru
Guru
 
Messaggi: 2196
Iscritto il: mer ott 12, 2005 4:32 pm
Ha ringraziato: 0 volta
Hai ringraziamenti: 8 volte

Messaggioda dbartizan » mer giu 11, 2014 5:21 pm

Ciao Surfer,

In realtà la password era unica e non proprio pessima dal punto di vista della robustezza (10 digit).
Purtroppo DELLMONT non ha fornito né informazioni, né logs quindi non so quale breccia gli hacker abbiano usato (brute force? baco heartbleed? account email piratato?). Sarebbe interessante andare a fondo per capire come é successo ed adottare qualche ulteriore accorgimento.

Per finire, DELLMONT mi ha chiuso il vecchio account per cui ho dovuto ri-registrare tutto da zero e ri-verificare i vari numeri che uso in uscita.

Simone
dbartizan
Beginner
Beginner
 
Messaggi: 44
Iscritto il: gio set 09, 2010 7:36 am
Ha ringraziato: 1 volta
Hai ringraziamenti: 0 volta

Messaggioda surfer » mer giu 11, 2014 8:53 pm

Sono d'accordo; sarebbe interessante andare a fondo per capire come é successo ed adottare qualche ulteriore accorgimento.

DELLMONT; al pari di tanti altri, ha glissato, ed elegantemente ti ha completamente rimborsato e chiuso il vecchio account.

Con password unica di 10 digit, io non credo molto al brute force, ne a bachi vari, come prima cosa, valuterei l'idea di cambiare l' account email
Avatar utente
surfer
Guru
Guru
 
Messaggi: 2196
Iscritto il: mer ott 12, 2005 4:32 pm
Ha ringraziato: 0 volta
Hai ringraziamenti: 8 volte

Messaggioda dbartizan » sab giu 21, 2014 12:20 pm

Salve a tutti ho un triste aggiornamento.

Nonostante cambi password ed il nuovo account VOIPSTUNT, mi hanno nuovamente svuotato il credito, stavolta su numeri totalmente improbabili (non ho avuto tempo di verificare le destinazioni ma sembrano su continenti diversi). La pulce all'orecchio mi è venuta stamattina ricevendo un telefonata alle 6 da non so dove. Verificando sul Fritz, tale numero era stato precedentemente chiamato da uno dei miei interni durante la notte...
Siccome il Fritz ha registrato le chiamate quindi il problema NON viene da VOIPSTUNT, ma dalla mia rete. Inoltre le chiamate risultano da interni VOIP differenti durante la notte (impossibile!) nonostante i computer/device fossero spenti o scollegati (niente WiFi durante la notte). Ne deduco che molto probabilmente il FRITZ è stato bucato :'(

Cosa posso fare ora? Mi consigliate di contattare il supporto AVM? Il mio 7170 era già stato aggiornato a 58.04.85, ma qua sembra che si entri come nel burro e si possa fregare soldi senza limiti...

Misure che mi vengono in mente in ordine di efficacia/radicalità
- rimuovere gli interni VOIP dal Fritz lasciando solo interni fisici (mi sa che serve a poco)
- cambiare tutte le pwd del fritz (ma se è stato bucato probabilmente succederà ancora)
- rimpiazzare il Fritz come router e usarlo solo come ATA (forse dietro ad un router/FW il buco può essere rattoppato...)
- rimuovere il FRITZ e montare un Asterix sul mio Synology (a parte il compito peloso, come attacco poi i telefoni analogici interni?)

Grazie per l'aiuto o anche solo x il sostegno morale...

Simone
dbartizan
Beginner
Beginner
 
Messaggi: 44
Iscritto il: gio set 09, 2010 7:36 am
Ha ringraziato: 1 volta
Hai ringraziamenti: 0 volta

Messaggioda surfer » dom giu 22, 2014 8:11 am

Per essere bucato, il Fritz deve essere esposto direttamente su internet, e senza una password adeguata.Non so se questo è il tuo caso.

Altrimenti hanno bucato la tua rete wireless sempre non adeguatamente protetta. Questa seconda ipotesi mi sembra più probabile.

Misure da adottare: cambiare tutte le password, adeguare e adottare migliori misure di sicurezza.
Avatar utente
surfer
Guru
Guru
 
Messaggi: 2196
Iscritto il: mer ott 12, 2005 4:32 pm
Ha ringraziato: 0 volta
Hai ringraziamenti: 8 volte

Messaggioda dbartizan » dom giu 22, 2014 8:01 pm

Grazie Surfer.

In realtà il Fritz era il mio router principale, quindi sì l'interfaccia WAN era esposta su internet ma l'amministrazione remota era disabilitata. Non ho avuto problemi di sicurezza in 6 anni di uso ininterrotto (forse nessuno mi aveva beccato...).
La pwd amministrativa era onestamente debole (forse troppo fiducioso che fosse accessibile solo in LAN...) per cui l'ho cambiata.

La pwd WiFi é quella di fabbrica con WPA (non WEP) ed inoltre il WiFi é programmato x spegnersi alle 11:00 (le telefonate avvengono a notte fonda). Inoltre vivo in campagna e faccio fatica ad avere un buon segnale dentro casa, quindi propendo più per il buco su WAN.
Le destinazioni delle chiamate pirata sono le più disparate per cui qualcuno ha bucato il router e rivenduto il traffico a più persone.
Confermo che il FW é aggiornato e che le chiamate risultano partite da interni VOIP leciti (ancorché sconnessi a quell'ora)



Le mitigation measures che ho adottato finora sono:
- Fritz spostato in configurazione ATA all'interno della LAN (ho messo un altro router in connessione WAN)
- rimozione interni LAN/WLAN (comodi ma non li uso così spesso)
- ricontrollo settaggi Fritz x amministrazione remota, call forward e call through
- cambio pwd amministrativa fritz

Ulteriori
- cambio IP pubblico (statico) all'ISP
- cambio credenziali VOIP (non é così semplice visto devo richiedere ad alcuni provider di ottemperare e poi applicare le modifiche)

Ieri sera è passata tranquilla. Presumo sia il nuovo router ad aver fatto la differenza.
dbartizan
Beginner
Beginner
 
Messaggi: 44
Iscritto il: gio set 09, 2010 7:36 am
Ha ringraziato: 1 volta
Hai ringraziamenti: 0 volta

Messaggioda surfer » lun giu 23, 2014 9:34 am

Bene, credo che tu abbia ora adottato tutte le misure necessarie, e non penso avrai più altri problemi.

Esporre il router direttamente su internet, per di più con ip statico, va fatto solo se strettamente necessario, adottando tutte le cautele del caso.
Avatar utente
surfer
Guru
Guru
 
Messaggi: 2196
Iscritto il: mer ott 12, 2005 4:32 pm
Ha ringraziato: 0 volta
Hai ringraziamenti: 8 volte


  • Argomento simile
    Risposte
    Visite
    Autore

Torna a Altri

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti