黑客盯上网络电话

网络犯罪分子从VoIP电话系统中找到了机会,他们利用软件漏洞进入企业的VoIP系统,以此为工具骗取银行客户的账户、密码等敏感信息。

网络犯罪分子从企业的VoIP系统中找到了下手的机会,特别是一些中小企业的VoIP系统。今年的9、10月份美国媒体报道了10多起电话系统入侵事件,犯罪分子通过这些电话系统给一些警惕性较差的银行客户打电话,诱骗他们泄露自己的银行账户和密码。

受害者一般是较小的区域性银行的客户,因为这些银行通常资源有限无法及时发现黑客的此类行为。过程通常是这样的,犯罪分子先侵入某个企业的VoIP,然后通过这些系统给客户打电话(或者发送带有电话的邮件等客户自己拨回),一旦电话接通先给客户播放一段预先录制好的录音,告诉他(她)银行的收费系统出了问题或者提醒他(她),怀疑他的账户涉嫌一些非法活动被冻结,然后指示用户输入自己的账号和密码进行验证。如果客户真的告诉犯罪分子账户和密码,犯罪分子就会利用这些信息造一张假的信用卡,然后把该账号上的所有钱取走。

犯罪分子入侵电话系统其实不新鲜,20多年前,就已经有犯罪分子盗用过电话公司线路,如今,随着传统的电话系统和互联网融合,犯罪分子从中发现了机会,而大多数人对此还不太了解。

通过VoIP实施欺骗

VoIP (Voice over Internet Protocol)入侵融合了通信与网络犯罪形式的特点,美国新泽西州助理律师Erez Liebermann说,“这是眼下正在蔓延的一种犯罪形式,还没有引起足够的重视。”

“受攻击最多的也是目前最流行的一种开源VoIP系统,名为Asterisk。”开源社区Digium的负责人John Todd介绍说,“这些犯罪分子的第一步就是先进入Asterisk系统。”

在2008年9月之前,黑客想进入Asterisk很不容易,所以当时黑客入侵还不是大问题,可是随着一个黑客工具在去年9月份,这个问题变得日益严重起来,“更糟糕的是,网络上还有如何入侵的视频、博客和播客来教别人怎么做。”

有了这些工具,黑客可以很轻易地进入VoIP系统中负责企业本地网与网络供应商(如AT&T,它负责电话转给全球其他地方)进行通信的服务器。黑客们最常用的手段是猜测VoIP系统的密码,有时甚至高达上千次,与大多数互联网程序(如Gmail)通常会阻止用户多次输入密码不同,很多VoIP系统的默认配置没有这一功能,而且经常是随便什么计算机都可以与它们通信,因此,黑客可以无限次尝试破解,这期间还可以配合一些字典攻击软件。一旦密码被破解,他们就能进入网络,免费地给他们的目标客户打电话。

位于西弗吉尼亚州的Innovative Technologies公司的VoIP系统就是这样被攻破的。10月初,几个欧洲的网络犯罪分子成功地进入公司的VoIP系统,并通过这个系统对美国的一家位于加利福尼亚的小型区域性银行自由银行(Liberty Bank)的客户实施了网络钓鱼欺骗。

“为了找到VoIP服务器,他们分析了很多IP地址。” Innovative Technologies公司的CEO Terry Lewis介绍说,从10月3日起,他开始接到自由银行客户的电话称他们受到了“钓鱼者”的骚扰。他立即检查了公司的VoIP系统的日志,发现黑客在周末通过他公司的VoIP系统拨打了300多个电话,正常情况下周末不会打这么多电话的。

一旦黑客成功进入某公司的VoIP系统,它就可以通过电话实施网络钓鱼,也称为“vishing”。其实,vishing已经出现有几年了,但是一直没有引起人们的关注,其原因在于这种方式针对的通常是那些区域性的小银行的客户而不会是知名大银行的客户。

自由银行的Lewis说,最近几周还有其他的一些区域性银行的客户也受到“钓鱼者”的骚扰。虽然Lewis没有提到这些银行的名字,不过,最近几周Union State Bank和Solvay Bank都报告说它们的客户中也有人成为vishing的受害者。

如何防范

Innovative Technologies公司还算幸运,还没有收到巨额的电话费催缴单。vishing很可能给企业带来高额的电话费。电话费与VoIP系统的配置直接相关,有时企业也可能需要支付长途费用(如国际长途)。“不管怎样,只要有人非法进入了你的电话系统,你就承担了很大的风险,比如要支付巨额电话费。”Innovative Technologies的Lewis说。

据自由银行的第一副总裁Jill Hitchman估计,那些实施“钓鱼”攻击的黑客们可能进入了20～35家企业的VoIP系统,他们每天通过这些VoIP系统给银行的客户们拨打2万～3万个电话。他认为很多企业根本就不知道自己的VoIP系统被入侵,也不知道可能要承担不菲的电话费,“当然,最大的问题是,黑客们是如何进入这些电话系统的以及我们应该如何阻止他们?”

虽然自由银行最终上当的客户很少,但是对“钓鱼者”而言,这在他们的意料之中。他们拿到客户的账户和密码后会申请一个AOL的账户(AOL给会员提供一个免费的试用期),来测试这些信息是否真实可用。如果信息真实他们就会制作出一张假的ATM卡,然后把账户里的钱全部转走。

对部署有VoIP系统的企业来说该如何防范?专家说,下面这些办法如果得到采用基本可以防住大部分的入侵者,这些方法包括更改VoIP系统中SIP连接的端口号、限制连接失败次数(一旦超过马上阻止其连接请求),以及一种最简单有效的方法―设置更可靠的密码。

现在的问题是,对于大多数中小企业而言,没有对于VoIP系统的入侵给予足够的重视。企业通常更关心电话的通话质量,而忘了它们的VoIP系统和邮件系统、门户一样存在很多漏洞,而且有些黑客专门对VoIP系统进行攻击。专家提醒,不要认为VoIP系统还是传统的电话系统,它和互联网一样,它的所有数据同样要通过互联网。