歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
企業傳統電話交換機、錄音主機系統成攻擊目標!
2017 / 03 / 07
編輯部
國內第一銀行遭國際駭客利用倫敦分行電話主機駭入ATM並不是特例,早在2016年2月就有駭客侵入企業電話交換機(PBX)系統,再透過詐騙手法進行洗錢。根據調查,駭客集團在曼谷之外的10個國家設立了650個銀行帳號來處理這些詐騙電話線路的不法獲利,在2008至2012年期間洗錢金額高達1,960萬美金,扣除佣金後,再洗回駭客集團帳戶。
案例說明:PBX入侵手法分析
在這起美國企業的案例裡,駭客組織先駭入企業內部的電話交換機系統,找出沒有分配到使用人員的分機號碼。接著更改這些電話的設定,再讓這些無人使用的分機撥號到駭客事先登記的國際、長途或高費率電話,由受害公司負擔費用並進行後續的洗錢活動。
因企業的電話交換機系統會連接到企業內部與外部之通訊環境,加上常被視為非主要的IT設備而疏於管理防護,所以很容易成為駭客的攻擊目標。我們分析一般企業內部遭駭原因可能包括:系統配置不當(如:直接暴露於網際網路,無任何防護措施)、組態設定過於鬆散(如:使用預設密碼或無密碼、開啟過多不必要的服務等),或用戶習慣不良(如:員工登入系統後不登出、回撥不知名未接來電等)。而外部駭客會利用精心設計的釣魚郵件、社交工程手法、惡意程式等多種工具結合成複雜的進階攻擊手法,透過各種可能存在的弱點發動入侵(如圖1)。
根據本案例目前已公開的資訊來看,因駭客已駭入電話交換機系統,合理研判駭客已利用系統組態弱點取得管理者權限,以識別沒有分配使用之分機並更改相關設定。
圖1:駭客透過複雜的精密手法侵入企業PBX系統。(KPMG整理)
檢討:重新檢視網路電話的威脅風險
隨著新興IT科技的推出與營運費用的考量,企業多已將傳統封閉式電話系統轉換為IP-based的開放式網路應用,或選用外部供應商的網路話務服務。但無論用哪一種方式,採用網路電話(VoIP)已成為趨勢,但絕大多數企業僅將PBX視為行政支援系統,卻忽略了因網路連結所引發的威脅及對企業帶來的風險。
雖然目前PBX系統已有許多成熟的防護技術,但它通常不會在一般企業風險評估的範圍之中,當然也不會出現在優先處理的風險項目清單上,故絕大多數企業在未發生資安事故前,並不會注意到電話交換機可能存在的風險。如圖2,參考美國NIST(國家標準技術研究所)網際安全框架之說明,高階管理階層從企業的風險管理切入,若與基層維運單位實作方法無法對焦,將導致企業珍貴資源投資的錯置;反之,若能夠對焦,則可將有限資源做最佳化運用,以發揮最大成效。
圖2:NIST網路安全風險管理架構。(KPMG翻譯)
補強:設備管理與人員訓練雙管其下
針對電話交換機系統或通話設備遭受入侵,而撥出國際、長途或高費率電話之費用的多數案例來看,因實際撥出地點仍在企業內部,要證明企業本身遭駭相當不易,所以多數企業最終仍須自行負擔費用,而造成巨大的財務損失。但可藉由下列方式盡量避免電話交換機系統遭駭,讓企業遭受損失。
1. 調整網路架構的配置:妥善運用防火牆或其他網路防護設備,對PBX系統來進行安全防護。
2. 檢視組態設定:像是限制員工國際、長途或高費率電話之撥打,必須經由申請核准程序,並賦予個人之指定密碼後方可撥打,並關閉系統設備非必要之遠端連線服務。
3. 內部教育訓練:加強宣導正確的網路電話使用習慣,如使用完畢後應立即登出,不得將個人授權密碼告知他人、不直接回覆來源不明或可疑之未接來電、通話時若遇不斷轉接之語音系統時應立即中止通話等。
4. 委外合約管理:與通信服務供應商簽訂合約中,可另外加註像國際通話金額這類應特別注意事項。如有異常國際話務金額,像是出現單筆金額過高、短時間多筆通話、總額超過限制等情況時,應主動通知企業的相關負責單位。
對CEO的啟示
目前駭客的組織不但分工精密,且具備高度攻擊技術,即使企業已提高投入資源,但駭客依然能找出企業安全管理上的疏忽或漏洞進行攻擊入侵,並藉由法規或契約之不足,牟取不當利益。參考本案例,駭客在駭入系統後,多利用假日在短時間內撥出付費電話,讓企業措手不及而蒙受損失。我們針對目前蒐集之資訊科技安全新興案例分析後,提出以下幾點建議:
1. 新興科技應用的風險無所不在,所以應就企業整體進行全面的風險評估才能知道全貌。
2. 訂定風險處理程序時,應以企業實際面臨的威脅情形來進行考量,但要了解沒有任何一套方法可以適用於全部情況。
3. 風險環境變動迅速,所以管理當局必須定期檢視相關規範,以隨時因應調整。
4. 先期預防投入之資源絕對遠低於事後補救所花費的成本。
結論
現在企業大多體認到科技應用發展日新月異,但隨之而來的資安挑戰往往在大家的意料之外!企業管理階層必須由宏觀全面的角度,在採用創新IT技術與協助推動業務的同時考量安全議題,方可達到「效益最大化」與「風險最低化」的成效,同時符合企業永續經營的目標。
最新活動
2024.10.16
2024 數位經濟資安趨勢論壇
2024.10.17
2024 金融資安趨勢論壇
2024.11.07
2024上市櫃高科技製造業資安論壇
2024.11.08
資安人講堂: 2025必須關注的資安10大趨勢
2024.10.16
駭客集團秘辛大公開!了解組織運作、勒索病毒攻擊手法與應對全攻略
2024.10.18
Wazuh All-in-one Security Platform 一體化安全平台網路研討會
2024.10.18
超智動化引領企業數位革命,AI賦能助力績效倍增
2024.10.24
企業網路不卡、IT不煩!現代企業網路的必修課
2024.10.30
從政策到實現 - 打造健全的機敏資料保護框架
2024.11.14
.NET/Java 安全程式開發達人集訓班
看更多活動
大家都在看
Cloudflare 揭史上最大規模 3.8 Tbps DDoS 攻擊 全球多產業成為目標
超過18000個API 金鑰外洩! 影響多個主流網站使用之令牌
美國CISA:駭客使用「簡易手法」攻擊工控系統
JPCERT分享Windows事件檢視器技巧有助發現勒索軟體攻擊
數百萬輛Kia汽車面臨遠端駭客攻擊漏洞:僅需車牌資訊即可入侵
資安人科技網
文章推薦
Microsoft 推出 2024 年 10 月 Patch Tuesday 每月例行更新修補包
美國最大供水公司遭網路攻擊,部分系統被迫關閉
自動油箱量測系統存在重大安全漏洞,加油站恐面臨遠端攻擊風險