网络电话系统沦为诈骗者工具_VoIP

网络电话系统沦为诈骗者工具

2010/01/12

　　最近几个星期内，网络罪犯已经侵入了全国各地的数十个电话系统，利用这些电话系统来联系银行客户从而诱骗他们泄漏自己的银行帐号号码和密码。　　

　　这些受害者通常都是与较小型机构建立银行业务的，而这些机构的诈骗侦查系统往往很差。诈骗者侵入电话系统，然后打给受害者，向他们播放预录信息，警告他们说发生计费错误或者因为涉嫌可疑操作银行帐号被暂停使用，如果担心的客户输入他的银行帐号和ATM密码，那么诈骗犯们就能够利用这些信息制造假冒的借记卡复制受害者的银行帐号。

　　约20年前，各大新闻媒体就报道过黑客攻击电话公司系统的新闻，这种攻击方式被称为“盗播(phreaking)”，但是随着传统电脑系统与互联网的整合，这也给诈骗创造了新的机遇。

　　“VoIP(互联网语音协议)攻击是电信和网络犯罪的交叠区的新前沿攻击，”位于美国新泽西州的助理律师Erez Liebermann表示，“这是非常严重的威胁，公司对此要特别注意。”

　　对于现在最流行的VoIP系统(所谓的Asterisk)的攻击，现在已经拉开序幕，该产品的制造商Digium的开源社区主管John Todd表示，这就像将棒球棍打烂汽车玻璃然后盗取汽车一样，他们的第一步就是侵入Asterisk系统。

　　Asterisk攻击已经于2008年9月(当简单易用的工具刚推出时)从低层次的问题演变到非常严重的问题，Todd表示：“现在已经有很多用户开始在系统上制作视频，博客和播客，信息非常丰富。”

　　通过这些工具，攻击者可以很轻松地攻击VoIP系统，只需要对连接办公室的局域网网络通信量到网络供应商(如AT&T，将电话与世界各地连接)通信量的系统进行攻击就可以发动全面攻击。

　　黑客们试图猜测VoIP系统的密码，进行了成千上万次的猜测。虽然很多互联网程序(如Gmail)将会对多次密码错误的用户进行阻止，但VoIP系统并不是这样设定的，它通常允许任何电脑连接到系统。这样攻击者就可以不断对系统进行攻击，试图猜测正在允许的电话分机，他们找到一个电话分机，他们就会允许字典攻击软件，如果密码很容易被猜到的话，他们就可以进入网络拨打免费电话了。

　　位于西弗吉尼亚州威灵市的Innovative Technologies公司就遇到过这样的攻击，他们在10月初受到罗马尼亚网络罪犯的攻击，网络罪犯利用他们的VoIP系统以拨打钓鱼攻击形式的电话，向Liberty银行的客户拨打诈骗电话。

　　“他们在互联网对整个IP地址进行了全盘扫描以找到VoIP服务器，”Innovative Technologies公司的首席执行官Terry Lewis表示。

　　10月3日，Lewis开始收到Liberty银行客户发来的电话投诉，随后他检查了他们的VoIP系统日志，并发现攻击者在周末播出了约300个电话，这比他们平时播出的电话都要多很多。

　　VoIP系统一旦被攻击，网络罪犯就用利用系统来执行基于电话的钓鱼攻击，这种攻击方式有时也被称为vishing(voice和phishing的缩写)。Vishing攻击已经出现好几年了，但是却很难被察觉俄，因为他们的攻击对象往往是那些较小地区的银行，而不是大型国家机构。这些攻击者在实施攻击后会马上转移到下一个银行进行攻击。

　　据Liberty银行表示，最近几周其他地区银行机构也通常遭遇过这种来自VoIP系统vishing攻击。不过Liberty银行并没有透露其他被攻击银行的名称。据称，Union State银行和Solvary银行也报道过类似诈骗攻击。

　　Lewis很幸运，他们并没有损失很多电话费，根据系统的配置，企业需要为任何电话费(攻击事件产生的国际电话费用)承担责任。

　　“如果有人开始滥用你的电话系统，你可能为此要支付很多钱，”Digium公司的Todd表示。

　　Liberty银行的第一副总裁Jill Hitchman认为，攻击他们银行的攻击者可能攻击了30-35家企业，大约每天拨打20000-30000次电话。“我不认为这些公司已经意识到他们可能要损失很多电话费，”Hitchman表示，“更大的问题是，这些电话系统是如何被攻击的，为什么我们不能阻止攻击?”

　　Hitchman表示，只有少数顾客落入诈骗犯的圈套，但是攻击者知道他们要做什么。首先他们会注册AOL帐号，测试银行卡号是否可行，因为AOL提供免费的试用会员资格，然后攻击者会将信息导入假ATM卡中，把银行帐号的钱全部取出来。

　　安全专家表示，企业可以采取一些措施来抵御这些攻击：改变他们为VoIP系统上SIP(会话发起协议)连接使用的端口;在多次失败后阻止连接以及在为语音系统使用更加复杂的密码保护。

　　问题在于，大多数中小型企业，安全都不是首要问题，“中小企业更关心的问题是他们的电话会议的音质是不是很好，”VoIP安全公司Secorix公司的首席技术工Rodney Thayer表示。

　　他们不认为他们的VoIP系统会像网络服务器或者电子邮件服务器那样容易受到网络攻击，这种想法是错误的，他们认为VoIP系统是不同的系统，实际上，这些系统都是一样的机制，所有数据都是在网络中进行的。

IT专家网