觀點

企業傳統電話交換機、錄音主機系統成攻擊目標!

2017 / 03 / 07
編輯部
企業傳統電話交換機、錄音主機系統成攻擊目標!
國內第一銀行遭國際駭客利用倫敦分行電話主機駭入ATM並不是特例,早在2016年2月就有駭客侵入企業電話交換機(PBX)系統,再透過詐騙手法進行洗錢。根據調查,駭客集團在曼谷之外的10個國家設立了650個銀行帳號來處理這些詐騙電話線路的不法獲利,在2008至2012年期間洗錢金額高達1,960萬美金,扣除佣金後,再洗回駭客集團帳戶。

案例說明:PBX入侵手法分析 
在這起美國企業的案例裡,駭客組織先駭入企業內部的電話交換機系統,找出沒有分配到使用人員的分機號碼。接著更改這些電話的設定,再讓這些無人使用的分機撥號到駭客事先登記的國際、長途或高費率電話,由受害公司負擔費用並進行後續的洗錢活動。

因企業的電話交換機系統會連接到企業內部與外部之通訊環境,加上常被視為非主要的IT設備而疏於管理防護,所以很容易成為駭客的攻擊目標。我們分析一般企業內部遭駭原因可能包括:系統配置不當(如:直接暴露於網際網路,無任何防護措施)、組態設定過於鬆散(如:使用預設密碼或無密碼、開啟過多不必要的服務等),或用戶習慣不良(如:員工登入系統後不登出、回撥不知名未接來電等)。而外部駭客會利用精心設計的釣魚郵件、社交工程手法、惡意程式等多種工具結合成複雜的進階攻擊手法,透過各種可能存在的弱點發動入侵(如圖1)。

根據本案例目前已公開的資訊來看,因駭客已駭入電話交換機系統,合理研判駭客已利用系統組態弱點取得管理者權限,以識別沒有分配使用之分機並更改相關設定。


                                        圖1:駭客透過複雜的精密手法侵入企業PBX系統。(KPMG整理)

檢討:重新檢視網路電話的威脅風險 
隨著新興IT科技的推出與營運費用的考量,企業多已將傳統封閉式電話系統轉換為IP-based的開放式網路應用,或選用外部供應商的網路話務服務。但無論用哪一種方式,採用網路電話(VoIP)已成為趨勢,但絕大多數企業僅將PBX視為行政支援系統,卻忽略了因網路連結所引發的威脅及對企業帶來的風險。

雖然目前PBX系統已有許多成熟的防護技術,但它通常不會在一般企業風險評估的範圍之中,當然也不會出現在優先處理的風險項目清單上,故絕大多數企業在未發生資安事故前,並不會注意到電話交換機可能存在的風險。如圖2,參考美國NIST(國家標準技術研究所)網際安全框架之說明,高階管理階層從企業的風險管理切入,若與基層維運單位實作方法無法對焦,將導致企業珍貴資源投資的錯置;反之,若能夠對焦,則可將有限資源做最佳化運用,以發揮最大成效。

                                                圖2:NIST網路安全風險管理架構。(KPMG翻譯)

補強:設備管理與人員訓練雙管其下 
針對電話交換機系統或通話設備遭受入侵,而撥出國際、長途或高費率電話之費用的多數案例來看,因實際撥出地點仍在企業內部,要證明企業本身遭駭相當不易,所以多數企業最終仍須自行負擔費用,而造成巨大的財務損失。但可藉由下列方式盡量避免電話交換機系統遭駭,讓企業遭受損失。
1. 調整網路架構的配置:妥善運用防火牆或其他網路防護設備,對PBX系統來進行安全防護。
2. 檢視組態設定:像是限制員工國際、長途或高費率電話之撥打,必須經由申請核准程序,並賦予個人之指定密碼後方可撥打,並關閉系統設備非必要之遠端連線服務。
3. 內部教育訓練:加強宣導正確的網路電話使用習慣,如使用完畢後應立即登出,不得將個人授權密碼告知他人、不直接回覆來源不明或可疑之未接來電、通話時若遇不斷轉接之語音系統時應立即中止通話等。
4. 委外合約管理:與通信服務供應商簽訂合約中,可另外加註像國際通話金額這類應特別注意事項。如有異常國際話務金額,像是出現單筆金額過高、短時間多筆通話、總額超過限制等情況時,應主動通知企業的相關負責單位。

對CEO的啟示
目前駭客的組織不但分工精密,且具備高度攻擊技術,即使企業已提高投入資源,但駭客依然能找出企業安全管理上的疏忽或漏洞進行攻擊入侵,並藉由法規或契約之不足,牟取不當利益。參考本案例,駭客在駭入系統後,多利用假日在短時間內撥出付費電話,讓企業措手不及而蒙受損失。我們針對目前蒐集之資訊科技安全新興案例分析後,提出以下幾點建議:
1. 新興科技應用的風險無所不在,所以應就企業整體進行全面的風險評估才能知道全貌。
2. 訂定風險處理程序時,應以企業實際面臨的威脅情形來進行考量,但要了解沒有任何一套方法可以適用於全部情況。
3. 風險環境變動迅速,所以管理當局必須定期檢視相關規範,以隨時因應調整。
4. 先期預防投入之資源絕對遠低於事後補救所花費的成本。

結論
現在企業大多體認到科技應用發展日新月異,但隨之而來的資安挑戰往往在大家的意料之外!企業管理階層必須由宏觀全面的角度,在採用創新IT技術與協助推動業務的同時考量安全議題,方可達到「效益最大化」與「風險最低化」的成效,同時符合企業永續經營的目標。