几乎自从有长途电话以来,就一直有长途电话诈骗。从电话盗版者到腐败的内部人员再到外部黑客,骗子们已经找到了一种让犯罪有利可图的方法。但与这一传统犯罪相关的三个趋势再次将其推到了风口上,给企业管理者带来了麻烦。
第一,越来越明显的是,收费欺诈的作恶者是高度有组织的,经营跨国集团,从事数百万美元的诈骗。二是VoIP和统一通信(UC)的广泛部署,开辟了新的攻击载体。第三,长途电话诈骗的受害者不再主要是服务提供商,而是各种类型和规模的企业。
今年6月,美国政府宣布破获了一个规模达5500万美元的长途电话诈骗团伙,该团伙以企业pbx为目标,在国际范围内开展业务。根据大陪审团的一份文件,尽管欺诈细节仍在披露中,但该团伙主要在意大利和西班牙以外的地区活动。这些所谓的头目付钱给菲律宾的黑客,让他们攻击美国企业,并侵入这些公司的pbx,通常使用暴力破解密码这样简单的技术。雷竞技比分
然后,诈骗者控制了被黑客入侵的pbx,并通过各种方法使用它们拨打长途电话。他们在意大利和西班牙开设了公共长途电话中心,大概是向个人收取长途电话费用。
美国执法官员说,欺诈者使用了1200万分钟的电话,据估计,受该计划影响的各种企业和服务提供商的欺诈性费用约为5500万美元。
显然,技术先进的集团正在利用无处不在的电话和数据基础设施,将这些犯罪的容易程度和频率提高到新的水平。他们在利用受害者的同时,也在寻找越来越多的变现方式。
旧的犯罪,新的网络,新的目标
虽然5500万美元的电话诈骗团伙似乎针对的是传统pbx,利用不充分的密码实践,但VoIP电话的新世界同样带来了新的欺诈风险。
事实上,与传统的T1 TDM连接相比,使用Session Initiation Protocol (SIP)中继进行PSTN连接的VoIP网络可能会造成更大的电话欺诈损失。例如,一个带有两个t1的被泄露的媒体网关每小时可能产生约2750分钟的通话时间,供诈骗者利用。相比之下,一个带宽大致相当、使用通用压缩算法的SIP中继可以提供每小时6000分钟的呼叫。因此,SIP中继至少提供了两倍的使用分钟,如果在非高峰时段带宽使用可以增加的话,可能还会多几倍。
在最基本的情况下,VoIP欺诈者利用漏洞获得IP-PBX或长途服务的访问权,或两者兼而有之。VoIP和UC安全架构中有四种常见的配置错误,可能会增加这种类型的利用风险:
1.弱的用户认证和访问控制。许多企业为数据连接部署了更健壮的用户身份验证形式(如基于令牌的双因素身份验证),但它们无法使用相同的聚合基础设施将此身份验证扩展到它们的电话端点。
2.完全依赖会话边界控制器或媒体网关来提供安全性。边界控制器提供关键的网络互操作性和相关的划分功能,帮助在终止SIP中继时管理网络之间的边界。然而,边界控制器和媒体网关的身份验证、访问控制、加密和威胁缓解功能在保护应用程序层安全问题时缺乏。这些问题将允许欺诈者进行侦察和绘制内部系统,以获取扩展的知识,并使用欺骗身份登录以获得对PSTN的访问。
3.虚拟局域网隔离和控制不足。在VoIP网络中,创建虚拟局域网(Virtual Local Area Networks),在逻辑上隔离语音和数据流量,是提高安全性的一个常见且必要的做法。然而,作为一种安全机制,VLAN分离很容易被中等程度的攻击者击败。此外,VoIP漏洞已经被发现,使攻击者能够获得对运行VoIP软电话的PC的控制,并危及整个VoIP和数据网络,包括访问所有电话功能,可以被利用为长途欺诈。VLAN分离虽然是必要的,但不应视为全面的安全措施,而必须辅以其他安全控制措施。
4.未充分使用加密。在许多安全体系结构中,错误或不可靠的加密使用是最重要的安全问题。虽然加密通常用于穿越企业DMZ和跨Internet等不受信任的网络的通信,但企业经常为了排除故障或由于性能问题而关闭内部通信的加密。最近许多备受瞩目的安全和数据泄露事件都源于攻击者进入内部网络并嗅探未加密的通信。对于这样的攻击者来说,窃取凭证以进行长途呼叫是一件简单的事情。
这些漏洞并不意味着VoIP或UC在本质上比传统的TDM电话更不安全。相反,一个合适的VoIP安全架构是建立在这样一种认识之上的:数据安全和网络安全的经典方法必须由应用层安全加以补充,以满足不断发展的通信应用程序的需求。
应用层安全在常见配置中涉及到建立一种标准机制,用于监控所有进入企业或访问核心系统的VoIP和UC业务的所有信令和媒体。应用层安全系统的典型部署将包括基于签名的威胁检测和缓解、基于每个用户或每个应用的安全策略实施、访问控制和身份验证以及类似的功能。
企业还通过定期进行VoIP和UC安全评估,包括适当的渗透测试,积极应对长途电话欺诈威胁。这些渗透测试非常类似于企业用于遵守隐私标准(如支付卡行业用于信用卡处理的标准)的数据渗透测试。网络电话或UC评估可以发现安全漏洞,为收费骗子提供机会。
认识到不断变化的安全范式并应对挑战的企业安全从业人员和IT经理将是那些能够最好地保护企业免受长途电话欺诈的人。他们是最不可能对邮件中意外收到的5500万美元账单感到惊讶的人。
布恩是公司的营销副总裁Sipera系统该公司是VoIP和统一通信系统的供应商。可以通过aboone@sipera.com联系到他。