首頁(yè) > 你是否聽(tīng)說(shuō)過(guò)最新的VoIP釣魚(yú)伎倆—Vishing的惡名?
它的運(yùn)行流程如下:易受騙的用戶(hù)會(huì)收到一封電子郵件(或者一個(gè)電話(huà)),被告知他的信用卡信息正在被人盜看,然后讓他趕緊撥打某個(gè)電話(huà)號(hào)碼。這個(gè)電話(huà)中會(huì)有電腦制作的語(yǔ)音提示,讓他輸入信用卡號(hào)碼和其他認(rèn)證信息等等。
這個(gè)釣魚(yú)欺詐中與VoIP有關(guān)的部分就是這個(gè)電話(huà)號(hào)碼。和傳統(tǒng)的電話(huà)不同,它可以讓欺詐者同時(shí)用大約800個(gè)本地電話(huà)號(hào)碼進(jìn)行呼叫,只要設(shè)置好系統(tǒng)后便可開(kāi)始自動(dòng)收集信用卡信息了。而用傳統(tǒng)電話(huà),電話(huà)公司一般需要確認(rèn)一項(xiàng)業(yè)務(wù)是否合法,然后只給在某個(gè)特定區(qū)域有實(shí)際工作場(chǎng)地的公司分配一個(gè)本地號(hào)碼。
Vishing正是最新的VoIP安全恐怖威脅。《Network World》最近就曾報(bào)道過(guò),各類(lèi)VoIP系統(tǒng),包括很有名氣的開(kāi)放源碼系統(tǒng)Asterisk都存在這樣的易于被分布式DoS攻擊的弱點(diǎn),這種攻擊可以徹底摧毀企業(yè)的電話(huà)系統(tǒng)。
眼下就有一個(gè)相當(dāng)有名的關(guān)于IP犯罪(FoIP)的案子,其中的兩名嫌犯侵入了多家企業(yè)和服務(wù)提供商的網(wǎng)絡(luò),“卷走”了大約1000萬(wàn)分鐘的呼叫時(shí)長(zhǎng),而受害企業(yè)為此付出了人均30萬(wàn)美元的連接費(fèi)用。此類(lèi)案例正呈上升勢(shì)頭。
那么,企業(yè)該如何防范此類(lèi)由于VoIP系統(tǒng)而引發(fā)的新的安全威脅或者漏洞呢?對(duì)于企業(yè)來(lái)說(shuō),需要有專(zhuān)人負(fù)責(zé)VoIP的安全。這聽(tīng)上去似乎明確而又簡(jiǎn)單,但你不知道企業(yè)里會(huì)有多少人認(rèn)為VoIP的安全理應(yīng)由安全團(tuán)隊(duì)負(fù)責(zé),可各個(gè)安全團(tuán)隊(duì)之間實(shí)際上會(huì)相互扯皮。假如連該誰(shuí)負(fù)責(zé)這樣的小事情都明確不了,那么安全又從何談起?
再下一步,評(píng)估系統(tǒng)的漏洞風(fēng)險(xiǎn)。企業(yè)級(jí)VoIP威脅一般會(huì)有4個(gè)主要來(lái)源:可用性、隱私、服務(wù)竊取以及獲得對(duì)敏感信息的訪(fǎng)問(wèn)權(quán)。可用性涉及是否易受分布式DoS或其他攻擊,從而導(dǎo)致VoIP系統(tǒng)掉線(xiàn)。隱私涉及VoIP呼叫的泄密。服務(wù)竊取自然是指系統(tǒng)是否易受他人濫用,比如上面所說(shuō)的FoIP案例。而最后一項(xiàng)則需要考慮Vishing對(duì)企業(yè)的入侵特性:比如黑客可能會(huì)截獲某個(gè)VoIP呼叫,將其ID修改成“IT部門(mén)”,再撥到比如總裁秘書(shū)處,精心制造一些場(chǎng)景要求總裁秘書(shū)提供總裁的系統(tǒng)口令或其他機(jī)密信息。秘書(shū)則會(huì)認(rèn)為她是在與IT部門(mén)通話(huà),從而輕易地將機(jī)密信息泄露給了黑客。
最后,對(duì)每一種威脅都需要專(zhuān)門(mén)的解決辦法。比如要確保可用性,就要確保一般的分布式DoS防范必須準(zhǔn)確到位。要確保隱私,可以利用適當(dāng)?shù)募用芗夹g(shù)。要防范服務(wù)竊取風(fēng)險(xiǎn)或敏感信息外泄,則需要進(jìn)行人員培訓(xùn),具備精準(zhǔn)的呼叫監(jiān)控功能等。
網(wǎng)界網(wǎng)
