歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
企業傳統電話交換機、錄音主機系統成攻擊目標!
2017 / 03 / 07
編輯部
國內第一銀行遭國際駭客利用倫敦分行電話主機駭入ATM並不是特例,早在2016年2月就有駭客侵入企業電話交換機(PBX)系統,再透過詐騙手法進行洗錢。根據調查,駭客集團在曼谷之外的10個國家設立了650個銀行帳號來處理這些詐騙電話線路的不法獲利,在2008至2012年期間洗錢金額高達1,960萬美金,扣除佣金後,再洗回駭客集團帳戶。
案例說明:PBX入侵手法分析
在這起美國企業的案例裡,駭客組織先駭入企業內部的電話交換機系統,找出沒有分配到使用人員的分機號碼。接著更改這些電話的設定,再讓這些無人使用的分機撥號到駭客事先登記的國際、長途或高費率電話,由受害公司負擔費用並進行後續的洗錢活動。
因企業的電話交換機系統會連接到企業內部與外部之通訊環境,加上常被視為非主要的IT設備而疏於管理防護,所以很容易成為駭客的攻擊目標。我們分析一般企業內部遭駭原因可能包括:系統配置不當(如:直接暴露於網際網路,無任何防護措施)、組態設定過於鬆散(如:使用預設密碼或無密碼、開啟過多不必要的服務等),或用戶習慣不良(如:員工登入系統後不登出、回撥不知名未接來電等)。而外部駭客會利用精心設計的釣魚郵件、社交工程手法、惡意程式等多種工具結合成複雜的進階攻擊手法,透過各種可能存在的弱點發動入侵(如圖1)。
根據本案例目前已公開的資訊來看,因駭客已駭入電話交換機系統,合理研判駭客已利用系統組態弱點取得管理者權限,以識別沒有分配使用之分機並更改相關設定。
圖1:駭客透過複雜的精密手法侵入企業PBX系統。(KPMG整理)
檢討:重新檢視網路電話的威脅風險
隨著新興IT科技的推出與營運費用的考量,企業多已將傳統封閉式電話系統轉換為IP-based的開放式網路應用,或選用外部供應商的網路話務服務。但無論用哪一種方式,採用網路電話(VoIP)已成為趨勢,但絕大多數企業僅將PBX視為行政支援系統,卻忽略了因網路連結所引發的威脅及對企業帶來的風險。
雖然目前PBX系統已有許多成熟的防護技術,但它通常不會在一般企業風險評估的範圍之中,當然也不會出現在優先處理的風險項目清單上,故絕大多數企業在未發生資安事故前,並不會注意到電話交換機可能存在的風險。如圖2,參考美國NIST(國家標準技術研究所)網際安全框架之說明,高階管理階層從企業的風險管理切入,若與基層維運單位實作方法無法對焦,將導致企業珍貴資源投資的錯置;反之,若能夠對焦,則可將有限資源做最佳化運用,以發揮最大成效。
圖2:NIST網路安全風險管理架構。(KPMG翻譯)
補強:設備管理與人員訓練雙管其下
針對電話交換機系統或通話設備遭受入侵,而撥出國際、長途或高費率電話之費用的多數案例來看,因實際撥出地點仍在企業內部,要證明企業本身遭駭相當不易,所以多數企業最終仍須自行負擔費用,而造成巨大的財務損失。但可藉由下列方式盡量避免電話交換機系統遭駭,讓企業遭受損失。
1. 調整網路架構的配置:妥善運用防火牆或其他網路防護設備,對PBX系統來進行安全防護。
2. 檢視組態設定:像是限制員工國際、長途或高費率電話之撥打,必須經由申請核准程序,並賦予個人之指定密碼後方可撥打,並關閉系統設備非必要之遠端連線服務。
3. 內部教育訓練:加強宣導正確的網路電話使用習慣,如使用完畢後應立即登出,不得將個人授權密碼告知他人、不直接回覆來源不明或可疑之未接來電、通話時若遇不斷轉接之語音系統時應立即中止通話等。
4. 委外合約管理:與通信服務供應商簽訂合約中,可另外加註像國際通話金額這類應特別注意事項。如有異常國際話務金額,像是出現單筆金額過高、短時間多筆通話、總額超過限制等情況時,應主動通知企業的相關負責單位。
對CEO的啟示
目前駭客的組織不但分工精密,且具備高度攻擊技術,即使企業已提高投入資源,但駭客依然能找出企業安全管理上的疏忽或漏洞進行攻擊入侵,並藉由法規或契約之不足,牟取不當利益。參考本案例,駭客在駭入系統後,多利用假日在短時間內撥出付費電話,讓企業措手不及而蒙受損失。我們針對目前蒐集之資訊科技安全新興案例分析後,提出以下幾點建議:
1. 新興科技應用的風險無所不在,所以應就企業整體進行全面的風險評估才能知道全貌。
2. 訂定風險處理程序時,應以企業實際面臨的威脅情形來進行考量,但要了解沒有任何一套方法可以適用於全部情況。
3. 風險環境變動迅速,所以管理當局必須定期檢視相關規範,以隨時因應調整。
4. 先期預防投入之資源絕對遠低於事後補救所花費的成本。
結論
現在企業大多體認到科技應用發展日新月異,但隨之而來的資安挑戰往往在大家的意料之外!企業管理階層必須由宏觀全面的角度,在採用創新IT技術與協助推動業務的同時考量安全議題,方可達到「效益最大化」與「風險最低化」的成效,同時符合企業永續經營的目標。
最新活動
2025.06.25
資安人講堂:構築製造業資安核心 – 零信任架構的落地實戰
2025.07.18
2025 政府資安高峰論壇
2025.06.25
拆解 ISO 27001 報價公式:控好預算、加速資安合規
2025.06.25
五張CCIE 終極生存指南- 🎛️🎚️ CCIE 最多人問的十個問題,我們一口氣講清楚 不是每個人都該考 CCIE,但你有問過自己:為什麼你不考?
2025.06.27
以資安及風險角度重塑企業韌性
2025.06.27
以資安及風險角度重塑企業韌性
2025.06.27
商丞科技『Cimtrak 網頁、程式防竄改保護、系統設定異動偵測與法規遵循軟體』與『Syteca 內部風險管理解決方案』網路研討會
2025.07.09
AI應用下的資安風險
2025.07.10
防毒、EDR、MDR 到底差在哪?從真實攻擊情境看懂端點防護的導入路線圖
2025.07.18
零信任與網路安全架構
看更多活動
大家都在看
趨勢科技與Palo Alto Networks 發布多項重要安全更新
EchoLeak 揭示新型態的零點擊AI資安漏洞「LLM範疇突破」
Qilin 勒索軟體集團利用 Fortinet 漏洞發動攻擊 已影響全球 310 家機構
Gartner 發佈雲技術發展六大趨勢
Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包
資安人科技網
文章推薦
資安署25年5月資安月報:情資蒐整量暴增 HiNet冒名釣魚攻擊現蹤
Android惡意軟體攻擊金融行動APP,虛擬化技術成新威脅
報告:65% 企業過去一年內曾遭雲端安全事件,僅6% 即時補救