企業傳統電話交換機、錄音主機系統成攻擊目標！

2017 / 03 / 07

編輯部

國內第一銀行遭國際駭客利用倫敦分行電話主機駭入ATM並不是特例，早在2016年2月就有駭客侵入企業電話交換機（PBX）系統，再透過詐騙手法進行洗錢。根據調查，駭客集團在曼谷之外的10個國家設立了650個銀行帳號來處理這些詐騙電話線路的不法獲利，在2008至2012年期間洗錢金額高達1,960萬美金，扣除佣金後，再洗回駭客集團帳戶。

案例說明：PBX入侵手法分析
在這起美國企業的案例裡，駭客組織先駭入企業內部的電話交換機系統，找出沒有分配到使用人員的分機號碼。接著更改這些電話的設定，再讓這些無人使用的分機撥號到駭客事先登記的國際、長途或高費率電話，由受害公司負擔費用並進行後續的洗錢活動。

因企業的電話交換機系統會連接到企業內部與外部之通訊環境，加上常被視為非主要的IT設備而疏於管理防護，所以很容易成為駭客的攻擊目標。我們分析一般企業內部遭駭原因可能包括：系統配置不當（如：直接暴露於網際網路，無任何防護措施）、組態設定過於鬆散（如：使用預設密碼或無密碼、開啟過多不必要的服務等），或用戶習慣不良（如：員工登入系統後不登出、回撥不知名未接來電等）。而外部駭客會利用精心設計的釣魚郵件、社交工程手法、惡意程式等多種工具結合成複雜的進階攻擊手法，透過各種可能存在的弱點發動入侵（如圖1）。

根據本案例目前已公開的資訊來看，因駭客已駭入電話交換機系統，合理研判駭客已利用系統組態弱點取得管理者權限，以識別沒有分配使用之分機並更改相關設定。

圖1：駭客透過複雜的精密手法侵入企業PBX系統。(KPMG整理)

檢討：重新檢視網路電話的威脅風險
隨著新興IT科技的推出與營運費用的考量，企業多已將傳統封閉式電話系統轉換為IP-based的開放式網路應用，或選用外部供應商的網路話務服務。但無論用哪一種方式，採用網路電話（VoIP）已成為趨勢，但絕大多數企業僅將PBX視為行政支援系統，卻忽略了因網路連結所引發的威脅及對企業帶來的風險。

雖然目前PBX系統已有許多成熟的防護技術，但它通常不會在一般企業風險評估的範圍之中，當然也不會出現在優先處理的風險項目清單上，故絕大多數企業在未發生資安事故前，並不會注意到電話交換機可能存在的風險。如圖2，參考美國NIST（國家標準技術研究所）網際安全框架之說明，高階管理階層從企業的風險管理切入，若與基層維運單位實作方法無法對焦，將導致企業珍貴資源投資的錯置；反之，若能夠對焦，則可將有限資源做最佳化運用，以發揮最大成效。

圖2：NIST網路安全風險管理架構。（KPMG翻譯）

補強：設備管理與人員訓練雙管其下
針對電話交換機系統或通話設備遭受入侵，而撥出國際、長途或高費率電話之費用的多數案例來看，因實際撥出地點仍在企業內部，要證明企業本身遭駭相當不易，所以多數企業最終仍須自行負擔費用，而造成巨大的財務損失。但可藉由下列方式盡量避免電話交換機系統遭駭，讓企業遭受損失。
1. 調整網路架構的配置：妥善運用防火牆或其他網路防護設備，對PBX系統來進行安全防護。
2. 檢視組態設定：像是限制員工國際、長途或高費率電話之撥打，必須經由申請核准程序，並賦予個人之指定密碼後方可撥打，並關閉系統設備非必要之遠端連線服務。
3. 內部教育訓練：加強宣導正確的網路電話使用習慣，如使用完畢後應立即登出，不得將個人授權密碼告知他人、不直接回覆來源不明或可疑之未接來電、通話時若遇不斷轉接之語音系統時應立即中止通話等。
4. 委外合約管理：與通信服務供應商簽訂合約中，可另外加註像國際通話金額這類應特別注意事項。如有異常國際話務金額，像是出現單筆金額過高、短時間多筆通話、總額超過限制等情況時，應主動通知企業的相關負責單位。

對CEO的啟示
目前駭客的組織不但分工精密，且具備高度攻擊技術，即使企業已提高投入資源，但駭客依然能找出企業安全管理上的疏忽或漏洞進行攻擊入侵，並藉由法規或契約之不足，牟取不當利益。參考本案例，駭客在駭入系統後，多利用假日在短時間內撥出付費電話，讓企業措手不及而蒙受損失。我們針對目前蒐集之資訊科技安全新興案例分析後，提出以下幾點建議：
1. 新興科技應用的風險無所不在，所以應就企業整體進行全面的風險評估才能知道全貌。
2. 訂定風險處理程序時，應以企業實際面臨的威脅情形來進行考量，但要了解沒有任何一套方法可以適用於全部情況。
3. 風險環境變動迅速，所以管理當局必須定期檢視相關規範，以隨時因應調整。
4. 先期預防投入之資源絕對遠低於事後補救所花費的成本。

結論
現在企業大多體認到科技應用發展日新月異，但隨之而來的資安挑戰往往在大家的意料之外！企業管理階層必須由宏觀全面的角度，在採用創新IT技術與協助推動業務的同時考量安全議題，方可達到「效益最大化」與「風險最低化」的成效，同時符合企業永續經營的目標。