DataDome

Prévention de la toll fraud : comment protéger votre entreprise ?

Table des matières
Paige Tester, Director of Content Marketing
Dernière mise à jour : 1 Aug, 2022
|
min

Dans le monde numérique actuel, tout repose sur le cloud et les réseaux, y compris vos services téléphoniques. Bien avant la généralisation du télétravail, la majorité des entreprises utilisaient déjà des services de télécommunications basés sur le Voice over Internet Protocol (VoIP). Les systèmes téléphoniques VoIP acheminent les appels via une connexion internet, en convertissant les données vocales en fichiers numériques pour permettre à l’appareil du destinataire de les décoder.

Comme la plupart des technologies cloud, la VoIP offre de nombreux avantages pour votre entreprise, tels que :

  • la réduction des coûts d’appel,
  • la flexibilité des services,
  • des fonctionnalités polyvalentes,
  • la simplification des appels en conférence.

Toutefois, à l’instar de toute autre technologie, des individus malveillants ont trouvé des moyens d’exploiter la VoIP pour en tirer profit rapidement. Les fraudeurs ne se contentent pas de viser la VoIP dans le cadre de fraudes télécoms, mais ils impactent également le consommateur final. Selon le rapport sur les pertes liées à la fraude 2021 de la Communications Fraud Control Association (CFCA), la fraude au partage des revenus internationaux (IRSF), également appelée toll fraud, a coûté aux entreprises la somme astronomique de 6,69 milliards de dollars. Plus inquiétant encore, la toll fraud s’est classée en tête des pertes financières parmi les vingt types de fraudes étudiés. Le second type le plus coûteux, le traffic pumping, a quant à lui engendré des pertes de 4,54 milliards de dollars.

En d’autres termes, si vous utilisez des services VoIP pour les communications de votre entreprise, comprendre la toll fraud et mettre en place des mesures de prévention est essentiel pour économiser de l’argent et protéger vos opérations.

Qu’est-ce que la toll fraud ?

La toll fraud, également appelée fraude au partage de revenus internationaux (IRSF), survient lorsque des fraudeurs exploitent vos lignes téléphoniques, équipements ou services pour générer un grand nombre d’appels longue distance, internationaux ou surtaxés frauduleux, tout en faisant porter les frais à l’entreprise propriétaire du système ciblé. Les fraudeurs peuvent s’attaquer à divers dispositifs tels que les téléphones mobiles, cartes d’appel, téléphones publics ou systèmes téléphoniques (piratage de PBX) pour parvenir à leurs fins.

Voici quelques exemples de toll fraud :

  • des employés qui passent des appels VoIP longue distance ou internationaux non autorisés à leurs amis ou à leur famille ;
  • des attaquants qui redirigent leurs appels personnels ou facturent le propriétaire d’un PBX en obtenant un accès à distance non autorisé ;
  • des fraudeurs qui, après avoir pris le contrôle d’un PBX, routent les appels de leurs clients via ce système, sous couvert d’être une petite entreprise de télécommunications ;
  • des fraudeurs qui utilisent un PBX compromis pour vendre des services de téléphonie à leurs clients, en générant des profits pendant que l’organisation visée en supporte les frais ;
  • des attaquants qui exploitent un PBX compromis pour générer un volume élevé d’appels frauduleux vers des numéros internationaux ou surtaxés, simplement pour faire augmenter les dépenses de l’entreprise ciblée.

De nombreuses tactiques imitent celles utilisées par les cybercriminels dans le cadre de leurs attaques, comme l’utilisation de mots de passe par défaut pour obtenir un accès à distance non autorisé à vos réseaux. Des mesures de sécurité de base peuvent vous aider à réduire les risques liés à la toll fraud.

Comment fonctionne la toll fraud ?

La toll fraud ne se limite pas aux systèmes VoIP. Dans les systèmes téléphoniques traditionnels, les fraudeurs exploitaient des fonctionnalités avancées des autocommutateurs privés (PBX) pour obtenir une tonalité. L’utilisateur composait un numéro de Direct Inward Dial (DID), entendait une tonalité, puis passait des appels. Lorsque ces fonctionnalités n’étaient pas protégées par un code PIN ou que les attaquants parvenaient à les compromettre, cela ouvrait la voie à la toll fraud.

Avec l’arrivée de la VoIP, les méthodes d’attaque ont évolué. Utilisant le réseau de données et internet, la VoIP permet aux fraudeurs de recourir aux mêmes techniques que celles utilisées pour les violations de données classiques. Voici quelques exemples de la manière dont ils s’attaquent aux systèmes :

  • Analyse des ports : le protocole SIP (Session Initiation Protocol) utilisé par la VoIP emploie les ports TCP 5060 et 5061, ce qui rend un serveur SIP non sécurisé et accessible via internet facile à repérer ;
  • mots de passe : les trunks SIP et les extensions SIP reposent sur des mots de passe, et l’utilisation de mots de passe faibles ou compromis crée une faille de sécurité ;
  • serveurs : les attaquants peuvent prendre le contrôle des serveurs SIP de la VoIP, les reconfigurer et les utiliser à leur avantage ;
  • spam de codes de vérification vocale : attaques automatisées ciblant les flux de données des systèmes d’authentification à deux facteurs (2FA) par SMS.

Qui est exposé à la toll fraud ?

Toute entreprise ou secteur utilisant des services VoIP est potentiellement à risque de toll fraud. Les fraudeurs ciblent particulièrement les entreprises qui utilisent des numéros de téléphone surtaxés. Ces numéros, qui facturent des tarifs supérieurs à la normale pour fournir des services spécifiques, sont largement utilisés par de nombreuses entreprises dans des domaines tels que :

  • les chats pour adultes,
  • les assistances techniques,
  • les systèmes de vote,
  • les services de prévisions météorologiques.

En outre, ces numéros surtaxés peuvent également inclure :

  • les numéros d’urgence,
  • les numéros mobiles spécifiques,
  • les numéros à coût partagé.

Habituellement, les autorités nationales attribuent et répertorient ces numéros surtaxés auprès de l’Union Internationale des Télécommunications (UIT), une agence spécialisée des Nations Unies. Un exemple courant est le préfixe 900, utilisé dans le cadre du North American Numbering Plan aux États-Unis.

Dans ce contexte, l’important n’est pas tant de savoir qui est la cible, mais plutôt où le fraudeur cherche à rediriger les appels. Toute région avec des tarifs d’appel élevés devient une destination privilégiée pour les fraudeurs. Voici quelques exemples de « destinations à haut risque » :

  • Cuba
  • Estonie
  • Gambie
  • Guinée
  • Lettonie
  • Lituanie
  • Maldives
  • Sierra Leone
  • Somalie
  • Tunisie
  • Zimbabwe

Meilleures méthodes pour prévenir la toll fraud

La meilleure façon d’éviter la toll fraud est de mettre en place un programme de cybersécurité robuste, comprenant un logiciel de détection de la fraude capable de protéger vos systèmes VoIP, vos réseaux et vos serveurs. Il est essentiel de s’équiper de technologies de sécurité qui couvrent une large gamme de risques, depuis la surveillance du réseau jusqu’à la détection de bots malveillants.

  1. Surveiller les menaces liées aux vulnerability scanning
    Les fraudeurs savent quels ports sont utilisés par les technologies VoIP et effectuent souvent des scans pour repérer des failles dans votre réseau. En analysant chaque requête à destination de vos services téléphoniques en ligne, vous pouvez bloquer ces tentatives de reconnaissance, notamment lorsqu’ils utilisent des bots malveillants pour obtenir un accès non autorisé.

2. Identifier les systèmes à risque
Avant de mettre en place des mesures de contrôle, il est crucial d’avoir une vue d’ensemble des connexions entre vos systèmes. Pour ce faire, vous devez :

  • établir une liste complète de tous les équipements utilisés ;
  • effectuer une évaluation des risques approfondie ;
  • mettre en place des mesures d’atténuation, en commençant par les actifs les plus exposés ;
  • préparer des plans d’urgence et de continuité d’activité ;
  • surveiller les vulnérabilités liées aux PBX et aux passerelles SIP.

3. Mettre en place une politique de protection par mot de passe
Comme pour tout appareil connecté à un réseau, vos services VoIP reposent sur des mots de passe. Il est impératif de supprimer les mots de passe par défaut, que les fraudeurs peuvent facilement trouver en ligne. Par ailleurs, adoptez une politique de mots de passe renforcée en imposant :

  • une longueur minimale de 16 caractères ;
  • l’utilisation de caractères spéciaux ;
  • l’alternance entre majuscules et minuscules ;
  • l’inclusion de chiffres ;
  • un changement de mot de passe régulier.

Définissez également un seuil de tentatives de connexion échouées avant de bloquer l’accès. Des échecs répétés de connexion sont souvent le signe de tentatives d’accès non autorisées.

4. Restreindre les accès géographiques
Étant donné que certaines zones géographiques sont plus exposées aux risques de toll fraud, il peut être pertinent de limiter les autorisations d’appel vers des pays à haut risque.

5. Limiter les appels internationaux
Configurez votre système VoIP pour restreindre ou sécuriser les appels internationaux. Cela ajoute une couche supplémentaire de sécurité et réduit les risques d’appels non autorisés. En exigeant l’utilisation d’un code d’autorisation pour les appels internationaux, vous pourrez plus facilement surveiller les comportements d’appel inhabituels, qu’il s’agisse d’appels internationaux ou longue distance.

6. Surveiller les journaux d’appels
La surveillance régulière des logs d’appels est une mesure clé pour prévenir la toll fraud. Votre système téléphonique VoIP doit permettre de suivre en détail les appels entrants et sortants. Si votre entreprise n’a pas besoin de passer un grand nombre d’appels longue distance, cette fonctionnalité peut être particulièrement utile pour détecter des comportements suspects.

7. Activer les fonctionnalités de sécurité des endpoints
La sécurisation de tous les points d’accès est essentielle pour réduire les risques. Dans vos protocoles de sécurité des endpoints, veillez à inclure :

  • la protection des applications mobiles et des API ;
  • la désactivation des services ou protocoles non requis sur vos routeurs, pare-feu et ordinateurs réseau, tels que H.323, SIP, CDP, TCP, UDP, RTP, ICMP, FTP, VNC, TFTP ;
  • la mise en œuvre de VPN IPSec comme PPTP et L2TP ;
  • l’utilisation des protocoles SSH (Secure Shell) pour les connexions sécurisées ;
  • le masquage des adresses IP à l’aide de la traduction d’adresses (NAT) ;
  • le chiffrement de toutes les connexions avec des algorithmes robustes comme DES, 3DES ou AES, avec des clés d’au moins 128 bits ;
  • la limitation au maximum du protocole DHCP afin d’éviter l’attribution automatique d’adresses IP.

8. Définir des limites de débit
Une stratégie efficace de prévention de la toll fraud consiste à limiter les actions des bots utilisés par les fraudeurs pour générer de grands volumes de trafic en un court laps de temps. Pour contrer ces abus, vous pouvez définir des restrictions sur :

  • le nombre maximum d’appels par minute ou par jour ;
  • la durée des appels ;
  • le nombre d’appels simultanés autorisés.

En appliquant ces mesures, vous pourrez mieux protéger vos systèmes VoIP contre les tentatives de toll fraud et minimiser les risques pour votre entreprise.

9. Configurer correctement votre PABX, PBX ou standard téléphonique
La sécurisation des systèmes dès leur déploiement est la première ligne de défense contre la toll fraud. En configurant votre PABX, PBX ou standard téléphonique selon les meilleures pratiques, vous limitez considérablement les possibilités d’exploitation par des fraudeurs. Voici quelques recommandations clés :

  • restreindre les extensions internes non autorisées pour qu’elles n’aient pas accès aux réseaux internationaux ;
  • désigner un administrateur chargé de gérer les autorisations d’extensions ;
  • attribuer à un administrateur la responsabilité d’autoriser les utilisateurs disposant d’autorisations spéciales ;
  • exiger des codes PIN pour accéder aux services téléphoniques ;
  • sécuriser l’accès physique aux services téléphoniques pour éviter tout accès non autorisé ;
  • limiter ou désactiver les fonctionnalités inutilisées, telles que l’accès direct au système (DISA), qui pourraient être exploitées par des utilisateurs malveillants.

10. Surveiller le PABX, PBX ou standard téléphonique
Au-delà de la surveillance des journaux d’appels, il est essentiel de surveiller régulièrement votre PABX, PBX ou standard téléphonique pour s’assurer qu’il reste conforme à vos contrôles internes. Voici les meilleures pratiques à adopter :

  • vérifier régulièrement les enregistrements d’appels (CDR), les logs et les factures afin de repérer toute activité non autorisée ;
  • maintenir à jour la documentation des destinations internationales fréquentes, y compris les pays, les bureaux distants, les bureaux à domicile et les fournisseurs ;
  • comparer systématiquement les enregistrements du PBX avec la documentation des destinations ;
  • configurer des alertes en temps réel pour détecter toute augmentation anormale du trafic national ou international, notamment en dehors des heures de travail habituelles ;
  • suspendre immédiatement le service en cas de détection d’une activité suspecte ou anormale.

En suivant ces recommandations, vous renforcez considérablement la sécurité de vos systèmes téléphoniques tout en minimisant les risques de toll fraud.

11. Surveiller la sécurité du réseau
En plus de la gestion de vos services VoIP, il est essentiel de mettre en place un programme solide de surveillance de la sécurité réseau pour protéger efficacement les connexions VoIP. Voici les mesures à adopter :

  • nommer un administrateur réseau chargé de surveiller l’activité réseau en temps réel ;
  • mettre en place des pare-feu performants, tels qu’un pare-feu applicatif (WAF) pour sécuriser les applications de téléphonie ;
  • mettre en place l’authentification multi-facteurs pour l’accès au réseau de l’entreprise, aussi bien pour les utilisateurs que pour les appareils connectés ;
  • configurer des règles de détection afin d’identifier les comportements réseau suspects, comme des volumes de trafic anormalement élevés provenant d’adresses IP inconnues ou à risque ;
  • utiliser des serveurs proxy pour définir des politiques de bande passante et réguler l’accès au réseau externe ;
  • appliquer des protocoles de chiffrement reconnus pour sécuriser toutes les données en transit sur votre réseau.

12. Sauvegarder les configurations

Vos plans d’urgence et de secours doivent prévoir la mise à jour des sauvegardes des bases de données. Vous devez également documenter vos procédures de restauration des données.

Protégez-vous contre la toll fraud avec DataDome

Le logiciel anti-bot SaaS de DataDome vous aide à prévenir la toll fraud et à lutter contre la fraude en ligne en analysant chaque requête effectuée sur vos services en ligne, tout en bloquant automatiquement les bots malveillants. Grâce à DataDome, vous bénéficiez d’une protection optimale de vos applications mobiles et de vos API, avec des algorithmes dédiés à chaque interface pour une sécurité renforcée.

Nous comparons chaque requête à notre immense base de données en mémoire, en utilisant un mélange d’intelligence artificielle (IA) et d’apprentissage automatique (ML) pour déterminer en moins de 2 millisecondes si une requête provient d’un humain ou d’un bot.

Avec DataDome, vous pouvez créer une liste autorisée, et nous bloquons automatiquement tout le trafic indésirable. Sachant que chaque interface et point de terminaison présente des schémas d’utilisation différents, nous avons mis en place des protections spécifiques pour les sites web, les connexions, les API d’applications mobiles, les connexions d’applications mobiles, et les API de machine à machine.

Une fois DataDome configuré, nous assurons une surveillance à la fois côté serveur et côté client, ce qui vous permet de détecter tous les signaux comportementaux, de réputation et de signature qui aident à identifier et atténuer les risques de toll fraud et de fraude en ligne en général. La combinaison des signaux côté client et côté serveur est particulièrement efficace pour détecter et suivre les bots, offrant une vue d’ensemble des attaques sophistiquées ciblant les réseaux, systèmes et dispositifs de votre entreprise.

FAQ sur la prévention de la toll fraud

Qu’est-ce que la toll fraud VoIP ?

La toll fraud survient lorsque des escrocs utilisent vos lignes téléphoniques, équipements ou services pour générer un grand volume d’appels internationaux, longue distance ou surtaxés fictifs. Les services VoIP (Voice-over-Internet Protocol) sont particulièrement ciblés, car les fraudeurs exploitent les vulnérabilités liées à la configuration des services, aux réseaux et à la gestion des mots de passe.

Qu’est-ce que la toll fraud Cisco ?

Les fonctionnalités de prévention de la toll fraudde Cisco renforcent la sécurité du protocole SIP (Session Initiation Protocol) pour protéger le système Unified CME, réduisant ainsi le risque d’exploitation des lignes SIP par des utilisateurs non autorisés.

Qu’est-ce que l’IRSF ?

La fraude au partage des revenus internationaux (IRSF), également appelée toll fraud, se produit lorsque des fraudeurs utilisent un service ou un produit de télécommunications sans intention de payer, en exploitant les technologies VoIP qui permettent de passer des appels simultanés.

DataDome
Paige Tester
Director of Content Marketing
Paige est directrice du marketing de contenu chez DataDome. Forte d'une expertise de plus de dix ans dans la création de contenu, elle dirige le développement de contenu stratégique approfondi qui met en avant les techniques avancées de détection des bots et de la fraude en ligne. Son travail fournit aux professionnels de la cybersécurité des informations exploitables et des connaissances de pointe, qui leur permettent de garder une longueur d'avance sur les menaces émergentes.

Articles liés