網絡電話系統(tǒng)淪為詐騙者工具

2010/01/12

　　最近幾個星期內，網絡罪犯已經侵入了全國各地的數(shù)十個電話系統(tǒng)，利用這些電話系統(tǒng)來聯(lián)系銀行客戶從而誘騙他們泄漏自己的銀行帳號號碼和密碼�！　�

　　這些受害者通常都是與較小型機構建立銀行業(yè)務的，而這些機構的詐騙偵查系統(tǒng)往往很差。詐騙者侵入電話系統(tǒng)，然后打給受害者，向他們播放預錄信息，警告他們說發(fā)生計費錯誤或者因為涉嫌可疑操作銀行帳號被暫停使用，如果擔心的客戶輸入他的銀行帳號和ATM密碼，那么詐騙犯們就能夠利用這些信息制造假冒的借記卡復制受害者的銀行帳號。

　　約20年前，各大新聞媒體就報道過黑客攻擊電話公司系統(tǒng)的新聞，這種攻擊方式被稱為“盜播(phreaking)”，但是隨著傳統(tǒng)電腦系統(tǒng)與互聯(lián)網的整合，這也給詐騙創(chuàng)造了新的機遇。

　　“VoIP(互聯(lián)網語音協(xié)議)攻擊是電信和網絡犯罪的交疊區(qū)的新前沿攻擊，”位于美國新澤西州的助理律師Erez Liebermann表示，“這是非常嚴重的威脅，公司對此要特別注意�！�

　　對于現(xiàn)在最流行的VoIP系統(tǒng)(所謂的Asterisk)的攻擊，現(xiàn)在已經拉開序幕，該產品的制造商Digium的開源社區(qū)主管John Todd表示，這就像將棒球棍打爛汽車玻璃然后盜取汽車一樣，他們的第一步就是侵入Asterisk系統(tǒng)。

　　Asterisk攻擊已經于2008年9月(當簡單易用的工具剛推出時)從低層次的問題演變到非常嚴重的問題，Todd表示：“現(xiàn)在已經有很多用戶開始在系統(tǒng)上制作視頻，博客和播客，信息非常豐富。”

　　通過這些工具，攻擊者可以很輕松地攻擊VoIP系統(tǒng)，只需要對連接辦公室的局域網網絡通信量到網絡供應商(如AT&T，將電話與世界各地連接)通信量的系統(tǒng)進行攻擊就可以發(fā)動全面攻擊。

　　黑客們試圖猜測VoIP系統(tǒng)的密碼，進行了成千上萬次的猜測。雖然很多互聯(lián)網程序(如Gmail)將會對多次密碼錯誤的用戶進行阻止，但VoIP系統(tǒng)并不是這樣設定的，它通常允許任何電腦連接到系統(tǒng)。這樣攻擊者就可以不斷對系統(tǒng)進行攻擊，試圖猜測正在允許的電話分機，他們找到一個電話分機，他們就會允許字典攻擊軟件，如果密碼很容易被猜到的話，他們就可以進入網絡撥打免費電話了。

　　位于西弗吉尼亞州威靈市的Innovative Technologies公司就遇到過這樣的攻擊，他們在10月初受到羅馬尼亞網絡罪犯的攻擊，網絡罪犯利用他們的VoIP系統(tǒng)以撥打釣魚攻擊形式的電話，向Liberty銀行的客戶撥打詐騙電話。

　　“他們在互聯(lián)網對整個IP地址進行了全盤掃描以找到VoIP服務器，”Innovative Technologies公司的首席執(zhí)行官Terry Lewis表示。

　　10月3日，Lewis開始收到Liberty銀行客戶發(fā)來的電話投訴，隨后他檢查了他們的VoIP系統(tǒng)日志，并發(fā)現(xiàn)攻擊者在周末播出了約300個電話，這比他們平時播出的電話都要多很多。

　　VoIP系統(tǒng)一旦被攻擊，網絡罪犯就用利用系統(tǒng)來執(zhí)行基于電話的釣魚攻擊，這種攻擊方式有時也被稱為vishing(voice和phishing的縮寫)。Vishing攻擊已經出現(xiàn)好幾年了，但是卻很難被察覺俄，因為他們的攻擊對象往往是那些較小地區(qū)的銀行，而不是大型國家機構。這些攻擊者在實施攻擊后會馬上轉移到下一個銀行進行攻擊。

　　據(jù)Liberty銀行表示，最近幾周其他地區(qū)銀行機構也通常遭遇過這種來自VoIP系統(tǒng)vishing攻擊。不過Liberty銀行并沒有透露其他被攻擊銀行的名稱。據(jù)稱，Union State銀行和Solvary銀行也報道過類似詐騙攻擊。

　　Lewis很幸運，他們并沒有損失很多電話費，根據(jù)系統(tǒng)的配置，企業(yè)需要為任何電話費(攻擊事件產生的國際電話費用)承擔責任。

　　“如果有人開始濫用你的電話系統(tǒng)，你可能為此要支付很多錢，”Digium公司的Todd表示。

　　Liberty銀行的第一副總裁Jill Hitchman認為，攻擊他們銀行的攻擊者可能攻擊了30-35家企業(yè)，大約每天撥打20000-30000次電話�！拔也徽J為這些公司已經意識到他們可能要損失很多電話費，”Hitchman表示，“更大的問題是，這些電話系統(tǒng)是如何被攻擊的，為什么我們不能阻止攻擊?”

　　Hitchman表示，只有少數(shù)顧客落入詐騙犯的圈套，但是攻擊者知道他們要做什么。首先他們會注冊AOL帳號，測試銀行卡號是否可行，因為AOL提供免費的試用會員資格，然后攻擊者會將信息導入假ATM卡中，把銀行帳號的錢全部取出來。

　　安全專家表示，企業(yè)可以采取一些措施來抵御這些攻擊：改變他們?yōu)閂oIP系統(tǒng)上SIP(會話發(fā)起協(xié)議)連接使用的端口;在多次失敗后阻止連接以及在為語音系統(tǒng)使用更加復雜的密碼保護。

　　問題在于，大多數(shù)中小型企業(yè)，安全都不是首要問題，“中小企業(yè)更關心的問題是他們的電話會議的音質是不是很好，”VoIP安全公司Secorix公司的首席技術工Rodney Thayer表示。

　　他們不認為他們的VoIP系統(tǒng)會像網絡服務器或者電子郵件服務器那樣容易受到網絡攻擊，這種想法是錯誤的，他們認為VoIP系統(tǒng)是不同的系統(tǒng)，實際上，這些系統(tǒng)都是一樣的機制，所有數(shù)據(jù)都是在網絡中進行的。

IT專家網