A Anatomia de um Ataque de Fraude Telefônica B2B

O Cenário Atual

A migração acelerada de empresas para infraestruturas VoIP e SIP Trunking abriu uma superfície de ataque significativa. Diferente dos ataques volumétricos de negação de serviço, a fraude telefônica opera de forma silenciosa — muitas vezes por semanas antes de ser detectada. Segundo relatórios do setor, as perdas globais com fraude em telecomunicações superam US$ 38 bilhões por ano, e empresas de médio porte são alvos prioritários exatamente por investirem menos em monitoramento especializado.

No Brasil, o crescimento do SIP Trunking corporativo nos últimos três anos criou uma janela de oportunidade para atacantes que exploram configurações padrão de gateways VoIP e senhas fracas em ramais legados. A adoção acelerada — muitas vezes sem revisão das políticas de segurança de voz — é o principal fator de risco.

Principais Vetores de Ataque

1. Toll Fraud via Desvio de Rota

O atacante compromete um ramal ou gateway SIP e realiza chamadas internacionais de alto custo, revertendo a cobrança para a empresa vítima. O esquema mais comum envolve destinos premium artificialmente criados — como ilhas remotas ou serviços de call aggregation — onde parte da receita da chamada é devolvida ao fraudador.

O prejuízo médio por incidente supera R$ 50.000 em mercados corporativos. Em casos graves envolvendo finais de semana prolongados ou feriados, quando o NOC tem resposta mais lenta, o valor pode chegar a R$ 300.000 em um único evento. O intervalo entre o comprometimento e a detecção é, em média, 72 horas sem monitoramento automatizado.

2. Eavesdropping em Fluxos RTP

Sem criptografia SRTP, os pacotes de áudio transitam em texto puro na rede IP. Um atacante posicionado na camada de transporte — seja por ARP spoofing na LAN ou por acesso a um link de interconexão não protegido — pode capturar conversas executivas, negociações financeiras e dados de autenticação sensíveis.

A gravidade aumenta em ambientes de comunicações unificadas (UC) onde voz, vídeo e mensageria compartilham o mesmo fabric de rede. Capturar um único diálogo de negociação pode valer muito mais do que milhares de chamadas fraudulentas de toll fraud. A LGPD classifica dados de voz de pessoas identificáveis como dados pessoais — uma interceptação não autorizada também cria passivo regulatório.

3. Registration Hijacking

A autenticação SIP baseada em MD5 (RFC 3261 padrão) é considerada obsoleta desde 2012. Ataques de dicionário offline contra desafios SIP capturados em tráfego de rede podem quebrar credenciais em minutos com hardware moderno. Uma vez que o atacante registra um identidade SIP sob seu controle, pode redirecionar chamadas recebidas, injetar sessões e roubar o número DID da empresa.

Ataques de registration hijacking são especialmente perigosos para empresas com ramais de home office que se autenticam diretamente na internet, sem SBC como intermediário. A superfície exposta inclui não só a senha do ramal, mas também dados do usuário transportados nos cabeçalhos SIP como From, Contact e User-Agent.

4. SIP Scanning e Enumeração de Ramais

Ferramentas automatizadas como SIPVicious varrem faixas de IP em busca de servidores SIP abertos, enumeram ramais válidos via mensagens OPTIONS/REGISTER e testam senhas com ataques de força bruta em alta velocidade. Um servidor SIP exposto sem rate limiting pode receber milhares de tentativas por minuto sem nenhum alerta.

A enumeração de ramais é frequentemente o primeiro passo de ataques em múltiplos estágios: descobrir quais extensões existem, identificar as com senhas fracas, e então escalar para toll fraud ou hijacking.

Defesas Arquiteturais

A estratégia de defesa eficaz combina três camadas interdependentes:

• Session Border Controller (SBC) como único ponto de entrada para tráfego SIP externo. O SBC inspeciona cada mensagem SIP, reescreve cabeçalhos que expõem topologia interna, aplica rate limiting por IP e bloqueia User-Agents conhecidos de ferramentas de scanning. Sem SBC, qualquer servidor SIP com IP público está diretamente exposto.
• Detecção de anomalias em tempo real baseada em análise comportamental: volume de chamadas por ramal, destinos internacionais incomuns, horário de discagem, ASR (Answer Seizure Ratio) por rota. Limiares configuráveis por perfil de usuário permitem alertas antes que o prejuízo financeiro escale.
• Segmentação de rede com VLAN dedicada de voz, isolando o tráfego de comunicações do resto da infraestrutura corporativa. Combinada com políticas de firewall que bloqueiam acesso direto ao servidor SIP de qualquer sub-rede que não seja o SBC, a segmentação elimina a classe inteira de ataques de movimentação lateral.

Adicionalmente, a adoção de STIR/SHAKEN — o padrão de assinatura digital de chamadas — mitiga o spoofing de caller ID que alimenta esquemas de engenharia social e fraude de voz corporativa. No Brasil, a ANATEL iniciou a implementação do framework em operadoras de grande porte, e provedores como a Voiicr já oferecem suporte nativo ao padrão.

Na Voiicr, todas as conexões E1 na Nuvem e SIP Trunking operam com TLS 1.3 + SRTP obrigatório, SBC dedicado por cliente com firewall SIP dinâmico e monitoramento anti-fraude 24/7 pelo nosso NOC. Incidentes de fraude detectados são bloqueados em menos de 5 minutos a partir do primeiro alerta automatizado.