網(wǎng)絡(luò)電話系統(tǒng)淪為詐騙者工具
2010/01/12
最近幾個(gè)星期內(nèi),網(wǎng)絡(luò)罪犯已經(jīng)侵入了全國(guó)各地的數(shù)十個(gè)電話系統(tǒng),利用這些電話系統(tǒng)來(lái)聯(lián)系銀行客戶從而誘騙他們泄漏自己的銀行帳號(hào)號(hào)碼和密碼。
這些受害者通常都是與較小型機(jī)構(gòu)建立銀行業(yè)務(wù)的,而這些機(jī)構(gòu)的詐騙偵查系統(tǒng)往往很差。詐騙者侵入電話系統(tǒng),然后打給受害者,向他們播放預(yù)錄信息,警告他們說(shuō)發(fā)生計(jì)費(fèi)錯(cuò)誤或者因?yàn)樯嫦涌梢刹僮縻y行帳號(hào)被暫停使用,如果擔(dān)心的客戶輸入他的銀行帳號(hào)和ATM密碼,那么詐騙犯?jìng)兙湍軌蚶眠@些信息制造假冒的借記卡復(fù)制受害者的銀行帳號(hào)。
約20年前,各大新聞媒體就報(bào)道過(guò)黑客攻擊電話公司系統(tǒng)的新聞,這種攻擊方式被稱為“盜播(phreaking)”,但是隨著傳統(tǒng)電腦系統(tǒng)與互聯(lián)網(wǎng)的整合,這也給詐騙創(chuàng)造了新的機(jī)遇。
“VoIP(互聯(lián)網(wǎng)語(yǔ)音協(xié)議)攻擊是電信和網(wǎng)絡(luò)犯罪的交疊區(qū)的新前沿攻擊,”位于美國(guó)新澤西州的助理律師Erez Liebermann表示,“這是非常嚴(yán)重的威脅,公司對(duì)此要特別注意!
對(duì)于現(xiàn)在最流行的VoIP系統(tǒng)(所謂的Asterisk)的攻擊,現(xiàn)在已經(jīng)拉開(kāi)序幕,該產(chǎn)品的制造商Digium的開(kāi)源社區(qū)主管John Todd表示,這就像將棒球棍打爛汽車玻璃然后盜取汽車一樣,他們的第一步就是侵入Asterisk系統(tǒng)。
Asterisk攻擊已經(jīng)于2008年9月(當(dāng)簡(jiǎn)單易用的工具剛推出時(shí))從低層次的問(wèn)題演變到非常嚴(yán)重的問(wèn)題,Todd表示:“現(xiàn)在已經(jīng)有很多用戶開(kāi)始在系統(tǒng)上制作視頻,博客和播客,信息非常豐富。”
通過(guò)這些工具,攻擊者可以很輕松地攻擊VoIP系統(tǒng),只需要對(duì)連接辦公室的局域網(wǎng)網(wǎng)絡(luò)通信量到網(wǎng)絡(luò)供應(yīng)商(如AT&T,將電話與世界各地連接)通信量的系統(tǒng)進(jìn)行攻擊就可以發(fā)動(dòng)全面攻擊。
黑客們?cè)噲D猜測(cè)VoIP系統(tǒng)的密碼,進(jìn)行了成千上萬(wàn)次的猜測(cè)。雖然很多互聯(lián)網(wǎng)程序(如Gmail)將會(huì)對(duì)多次密碼錯(cuò)誤的用戶進(jìn)行阻止,但VoIP系統(tǒng)并不是這樣設(shè)定的,它通常允許任何電腦連接到系統(tǒng)。這樣攻擊者就可以不斷對(duì)系統(tǒng)進(jìn)行攻擊,試圖猜測(cè)正在允許的電話分機(jī),他們找到一個(gè)電話分機(jī),他們就會(huì)允許字典攻擊軟件,如果密碼很容易被猜到的話,他們就可以進(jìn)入網(wǎng)絡(luò)撥打免費(fèi)電話了。
位于西弗吉尼亞州威靈市的Innovative Technologies公司就遇到過(guò)這樣的攻擊,他們?cè)?0月初受到羅馬尼亞網(wǎng)絡(luò)罪犯的攻擊,網(wǎng)絡(luò)罪犯利用他們的VoIP系統(tǒng)以撥打釣魚(yú)攻擊形式的電話,向Liberty銀行的客戶撥打詐騙電話。
“他們?cè)诨ヂ?lián)網(wǎng)對(duì)整個(gè)IP地址進(jìn)行了全盤掃描以找到VoIP服務(wù)器,”Innovative Technologies公司的首席執(zhí)行官Terry Lewis表示。
10月3日,Lewis開(kāi)始收到Liberty銀行客戶發(fā)來(lái)的電話投訴,隨后他檢查了他們的VoIP系統(tǒng)日志,并發(fā)現(xiàn)攻擊者在周末播出了約300個(gè)電話,這比他們平時(shí)播出的電話都要多很多。
VoIP系統(tǒng)一旦被攻擊,網(wǎng)絡(luò)罪犯就用利用系統(tǒng)來(lái)執(zhí)行基于電話的釣魚(yú)攻擊,這種攻擊方式有時(shí)也被稱為vishing(voice和phishing的縮寫(xiě))。Vishing攻擊已經(jīng)出現(xiàn)好幾年了,但是卻很難被察覺(jué)俄,因?yàn)樗麄兊墓魧?duì)象往往是那些較小地區(qū)的銀行,而不是大型國(guó)家機(jī)構(gòu)。這些攻擊者在實(shí)施攻擊后會(huì)馬上轉(zhuǎn)移到下一個(gè)銀行進(jìn)行攻擊。
據(jù)Liberty銀行表示,最近幾周其他地區(qū)銀行機(jī)構(gòu)也通常遭遇過(guò)這種來(lái)自VoIP系統(tǒng)vishing攻擊。不過(guò)Liberty銀行并沒(méi)有透露其他被攻擊銀行的名稱。據(jù)稱,Union State銀行和Solvary銀行也報(bào)道過(guò)類似詐騙攻擊。
Lewis很幸運(yùn),他們并沒(méi)有損失很多電話費(fèi),根據(jù)系統(tǒng)的配置,企業(yè)需要為任何電話費(fèi)(攻擊事件產(chǎn)生的國(guó)際電話費(fèi)用)承擔(dān)責(zé)任。
“如果有人開(kāi)始濫用你的電話系統(tǒng),你可能為此要支付很多錢,”Digium公司的Todd表示。
Liberty銀行的第一副總裁Jill Hitchman認(rèn)為,攻擊他們銀行的攻擊者可能攻擊了30-35家企業(yè),大約每天撥打20000-30000次電話!拔也徽J(rèn)為這些公司已經(jīng)意識(shí)到他們可能要損失很多電話費(fèi),”Hitchman表示,“更大的問(wèn)題是,這些電話系統(tǒng)是如何被攻擊的,為什么我們不能阻止攻擊?”
Hitchman表示,只有少數(shù)顧客落入詐騙犯的圈套,但是攻擊者知道他們要做什么。首先他們會(huì)注冊(cè)AOL帳號(hào),測(cè)試銀行卡號(hào)是否可行,因?yàn)锳OL提供免費(fèi)的試用會(huì)員資格,然后攻擊者會(huì)將信息導(dǎo)入假ATM卡中,把銀行帳號(hào)的錢全部取出來(lái)。
安全專家表示,企業(yè)可以采取一些措施來(lái)抵御這些攻擊:改變他們?yōu)閂oIP系統(tǒng)上SIP(會(huì)話發(fā)起協(xié)議)連接使用的端口;在多次失敗后阻止連接以及在為語(yǔ)音系統(tǒng)使用更加復(fù)雜的密碼保護(hù)。
問(wèn)題在于,大多數(shù)中小型企業(yè),安全都不是首要問(wèn)題,“中小企業(yè)更關(guān)心的問(wèn)題是他們的電話會(huì)議的音質(zhì)是不是很好,”VoIP安全公司Secorix公司的首席技術(shù)工Rodney Thayer表示。
他們不認(rèn)為他們的VoIP系統(tǒng)會(huì)像網(wǎng)絡(luò)服務(wù)器或者電子郵件服務(wù)器那樣容易受到網(wǎng)絡(luò)攻擊,這種想法是錯(cuò)誤的,他們認(rèn)為VoIP系統(tǒng)是不同的系統(tǒng),實(shí)際上,這些系統(tǒng)都是一樣的機(jī)制,所有數(shù)據(jù)都是在網(wǎng)絡(luò)中進(jìn)行的。
IT專家網(wǎng)
相關(guān)閱讀: