Polski CERT analizując dane z rozproszonego systemu wykrywania włamań ARAKIS odnotował narastające zainteresowanie portami związanymi z protokołem SIP. O ile próby włamań na serwery SIP obserwowano dużo wcześniej o tyle teraz według CERT Polska mamy do czynienia z systematycznym skanowaniem polskich klas internetowych w poszukowaniu nowych, dziurawych serwerów VoIP. Główne źródła skanów to Chiny, USA i Francja, jednak te lokalizacje mogą mieć mało wspólnego z rzeczywistym pochodzeniem grupy.

Nowością są również skany w poszukiwaniu urządzeń z otwartymi usługami H.323, innego popularnego protokołu VoIP. W obu przypadkach skanowanie ma na celu przede wszystkim rozpoznanie rodzaju oprogramowania lub urządzenia (SIP OPTIONS) i z punktu widzenia użytkownika jest niezauważalne (nie powoduje sygnalizacji połączenia przychodzącego). W razie przejęcia kontroli nad systemem VoIP ofiary grupy przestępcze najczęściej wykorzystują go do wykonywania ogromnych ilości połączeń na płatne numery "premium". Ich kosztami jest obciążany właściciel systemu.

Zobacz również:

• Menedżer haseł - na które rozwiązanie warto postawić w 2024 roku

By nie paść ofiarą tego typu ataków należy przede wszystkim poprawnie skonfigurować oprogramowanie VoIP, w szczególności ustawienia kontroli dostępu. Szczegółowe informacje można znaleźć w naszych wcześniejszych artykułach na temat VoIP (Jak ustrzec się ataków na VoIP?, VoIP pod lupą) oraz w artykule CERT Polska.