趨勢(shì)科技的研究人員總結(jié)了改善企業(yè)和電信公司 IT 基礎(chǔ)設(shè)施安全狀況的特征����、威脅和建議���。
語(yǔ)音攔截
語(yǔ)音通話仍然是最受信任的通信類型之一,盡管如此��,攻擊者仍然可以利用運(yùn)營(yíng)商間的信任來(lái)利用可信環(huán)境���、基礎(chǔ)設(shè)施和運(yùn)營(yíng)商之間的互連來(lái)實(shí)施遠(yuǎn)程攻擊場(chǎng)景��。訪問(wèn)國(guó)外的電信基礎(chǔ)設(shè)施也足以進(jìn)行語(yǔ)音呼叫重定向和攔截����。攻擊場(chǎng)景可能包括濫用合法安裝在私人空間(如酒吧)中的合法室內(nèi)小型基站、使用Warbox(一款戰(zhàn)爭(zhēng)沙盒模擬游戲,玩家可借助一系列工具,按照所希望的樣子自定義戰(zhàn)場(chǎng),然后觀看戰(zhàn)爭(zhēng)進(jìn)行或親身加入戰(zhàn)場(chǎng)。)或使用流氓基站攔截?cái)?shù)據(jù)和語(yǔ)音通話����,以及其他可能的場(chǎng)景。
鑒于假定的信任程度��,語(yǔ)音呼叫攔截攻擊或竊聽(tīng)通常針對(duì)高價(jià)值目標(biāo)�����,例如高層管理人員�����、重要政治人物�、律師���、記者���、活動(dòng)人士等���。這種類型的攻擊不僅可以繞過(guò)信息安全����,還可以訪問(wèn)可用于影響談判和交易結(jié)果的高價(jià)值信息���。趨勢(shì)科技的研究突出了這類攻擊的一些引人注目的例子,比如意大利和烏干達(dá)的襲擊����。
安全建議:如果可行���,可以將金融領(lǐng)域使用的算法與電信日志(如用于反欺詐檢測(cè)觸發(fā)器的本福特定律)結(jié)合起來(lái)����。事件響應(yīng)(IR)團(tuán)隊(duì)可以監(jiān)控和跟蹤濫用和欺詐行為的發(fā)生���,為犯罪行為提供可警覺(jué)和可預(yù)測(cè)的模式���。用戶也被鼓勵(lì)在他們的語(yǔ)音應(yīng)用程序中使用點(diǎn)對(duì)點(diǎn)加密���,并建議在可能的情況下禁用手機(jī)上的GSM�����。
短信攔截
更常見(jiàn)的情況是,開(kāi)發(fā)人員將 SMS 身份驗(yàn)證包括在他們的項(xiàng)目中�����,作為記錄和處理一次性密碼 (OTP) 等事務(wù)的可靠選項(xiàng)。然而����,由于短信在電信網(wǎng)絡(luò)內(nèi)以明文形式交換,因此仍然容易受到攔截和降級(jí)攻擊。
電信核心網(wǎng)絡(luò)可以被認(rèn)為是“受保護(hù)的”���,這取決于電信公司如何看待“安全域”這一概念�。但實(shí)際上�����,由于電信核心網(wǎng)通常只有一個(gè)域���,因此其中的數(shù)據(jù)只受外部保護(hù),內(nèi)部不受保護(hù)����。因此�,黑客或內(nèi)部人員可以攔截短信或?qū)?4G/5G 服務(wù)區(qū)降級(jí)到安全性較低的網(wǎng)絡(luò)��,例如 GSM�。
SMS 還是用于遠(yuǎn)程操作技術(shù) (OT) 系統(tǒng)的備份通道���,例如支持空中命令 (OTA) 的工業(yè)路由器和蜂窩 OT 設(shè)備。由于 GSM 的覆蓋范圍比新一代電信技術(shù)更廣�,因此這些系統(tǒng)更容易被攔截。
通過(guò)社會(huì)工程���,SIM卡交換也可以被攻擊者使用�,他們假裝是處于困境的用戶。通常�,攻擊者假裝是丟失設(shè)備或SIM卡的用戶����,呼叫電信服務(wù)中心。作為回應(yīng)�����,服務(wù)中心隨后將用戶的帳戶和電話號(hào)碼轉(zhuǎn)移給攻擊者���,然后所有的文本信息將被發(fā)送給攻擊者�����,而不是發(fā)送給不知情的合法用戶��。先前記錄的案例包括惡意軟件冒充 Android 工具竊取身份驗(yàn)證代碼�,更不用說(shuō)用于入侵電信短信中心的“MessageTap”惡意軟件��。MESSAGETAP惡意軟件的第一次活動(dòng)是在2019年初發(fā)現(xiàn)的�,該黑客工具經(jīng)過(guò)編程���,可以針對(duì)特定的個(gè)人,也可以尋找某些文本字符串和關(guān)鍵字,這些字符串可能出現(xiàn)在攔截的文本消息中���。
安全建議:用戶應(yīng)考慮其他身份驗(yàn)證方式���,而不是短信��,例如移動(dòng)應(yīng)用程序 Authenticator或手機(jī)推送通知。
來(lái)電顯示欺騙
呼叫線路 ID 欺騙 (CLID) 是一種合法的基于標(biāo)準(zhǔn)的活動(dòng)�,用于合法目的,包括掩蓋1-800熱線號(hào)碼后面的呼叫中心��。它也可能被攻擊者濫用以攻擊個(gè)人,例如冒充銀行和政府機(jī)構(gòu)等組織的攻擊者��,這樣的攻擊場(chǎng)景會(huì)濫用與已知數(shù)量的組織建立的信任�����。
一種情況是客戶接到銀行打來(lái)的電話或短信���,這種傳輸可能包括由于某些原因?qū)е驴蛻魺o(wú)意中通過(guò)釣魚(yú)網(wǎng)站與攻擊者分享他們的憑證或其他敏感信息而提出的行動(dòng)請(qǐng)求。其他攻擊場(chǎng)景還包括:
攻擊者冒充執(zhí)法機(jī)構(gòu)和政府當(dāng)局;
高級(jí)官員接到他們認(rèn)為屬于其他官員但實(shí)際上屬于攻擊者的號(hào)碼;
值得注意的是���,像這樣的攻擊在2020年在澳大利亞和新加坡均被觀察到。在這兩起案件中���,詐騙者會(huì)冒充政府機(jī)構(gòu)或官員購(gòu)買或領(lǐng)取特定物品�����。
安全建議:作為多層防御策略的一部分�����,用戶和組織應(yīng)仔細(xì)檢查來(lái)電和短信的來(lái)源����,另外通過(guò)使用與文本消息或呼叫來(lái)源相關(guān)的電信日志等數(shù)據(jù)來(lái)增強(qiáng)現(xiàn)有流程的能力��。
TDoS 勒索
2016年就有美國(guó)研究人員稱�,他們利用漏洞和技術(shù)手段可以很輕易地在相當(dāng)長(zhǎng)時(shí)間里使911系統(tǒng)陷入癱瘓���。攻擊者使用了一種叫TDoSDD的攻擊方法�����,也稱作“電話阻斷式攻擊”(telephony denial-of-service attack)�。手段包括利用普通用戶的手機(jī)大量撥打虛假的911報(bào)警電話���,從而造成線路堵塞和信息干擾����,使得那些真正需要急救的人無(wú)法得到救援。
與系統(tǒng)因流量過(guò)載而導(dǎo)致系統(tǒng)過(guò)載的拒絕服務(wù) (DoS) 定量模型相比���,電話拒絕服務(wù) (TDoS) 是一種 DoS 定性模型��,其中針對(duì)目標(biāo)合法用戶“關(guān)閉”服務(wù)���。攻擊者濫用電信公司管理欺詐的現(xiàn)有業(yè)務(wù)流程,以創(chuàng)建一個(gè)場(chǎng)景���,將目標(biāo)受害者的電話號(hào)碼和 SIM 卡描繪為屬于欺詐者�����。電信公司隨后會(huì)阻止受害者的號(hào)碼和 SIM 卡,現(xiàn)在將其作為可檢測(cè)欺詐的來(lái)源進(jìn)行跟蹤��。因此��,受害者很可能需要親自到電信辦公室辦理業(yè)務(wù)以恢復(fù)他們的服務(wù)��。
這種 DoS 方法可以被認(rèn)為是一個(gè)“黑旗(black flag)”�,其中欺詐是專門(mén)為了讓受害者(個(gè)人或公司)被抓住和阻止的目的而進(jìn)行的���。此類攻擊場(chǎng)景包括攻擊者位于受害者 SIM 卡和電話號(hào)碼的范圍內(nèi)�����,以便電信公司將其作為欺詐來(lái)源進(jìn)行跟蹤�����,并將受害者視為高度可疑的繼續(xù)前進(jìn)��。攻擊者還可以通過(guò)多次致電電信公司請(qǐng)求恢復(fù)服務(wù)來(lái)延長(zhǎng)數(shù)據(jù)連接和電話的中斷時(shí)間�����,從而使電信公司難以區(qū)分真假受害者�����。
必須記住����,受害者可能既沒(méi)有連接也沒(méi)有打電話的能力,而像這樣的中斷可能需要受害者長(zhǎng)途跋涉�����,只是為了親自出現(xiàn)在電信辦公室。攻擊者可以通過(guò)聯(lián)系受害者并假裝有能力恢復(fù)服務(wù)以換取特定要求來(lái)進(jìn)一步濫用這種情況進(jìn)行勒索���。
安全建議:作為客戶���,組織和用戶都可以與各自的銷售客戶代表或主管建立牢固的關(guān)系����,以繞過(guò)流程中的漏洞����,恢復(fù)連接和電話服務(wù)。從這個(gè)意義上講�����,還建議使用其他方式與此類聯(lián)系人進(jìn)行通信����。
通過(guò) SIM-jacking 捕鯨
SIM卡劫持手法(SIM-jacking)���,就是犯罪者取得個(gè)人電話號(hào)碼和資訊�����,假冒手機(jī)用戶���,向電信廠商技術(shù)服務(wù)人員申辦新的SIM卡�����,之后透過(guò)簡(jiǎn)訊存取用戶的帳號(hào)資料��,甚至盜用電子錢(qián)包�����。捕鯨來(lái)自“網(wǎng)絡(luò)釣魚(yú)”一詞,捕鯨 (Whaling)是一種欺詐類型攻擊,釣魚(yú)者找到某個(gè)公司高層或高管團(tuán)隊(duì)的姓名和電子郵件地址(此類信息通常會(huì)在網(wǎng)頁(yè)上免費(fèi)提供)��,并撰寫(xiě)與這些人員及其公司職位相稱的電子郵件�。 這些電子郵件會(huì)試圖誘使高管們、記者�����、政治家、首席執(zhí)行官�����、名人和運(yùn)動(dòng)員等單擊某個(gè)鏈接并訪問(wèn)某個(gè)網(wǎng)站����,在此惡意軟件會(huì)下載到其計(jì)算機(jī)中���,并復(fù)制按鍵記錄或搜出敏感信息或公司機(jī)密。SIM 卡劫持也被其他人稱為 SIM 交換����,這是一種將目標(biāo)“鯨魚(yú)”的手機(jī)流量重定向到攻擊者的攻擊。這允許攻擊者向其他員工發(fā)起語(yǔ)音呼叫或消息以進(jìn)行商業(yè)電子郵件泄露 (BEC)��,例如攔截基于 SMS 的多因素身份驗(yàn)證 (MFA) 代碼或授權(quán)公司銀行轉(zhuǎn)賬���。
最簡(jiǎn)單的一個(gè)方法就是通過(guò)使用多個(gè)攻擊點(diǎn)和人員的社會(huì)工程���,特別是針對(duì)電信公司內(nèi)的點(diǎn)或個(gè)人。更重要的是����,只要有一個(gè)有效點(diǎn),攻擊者就不僅可以控制一個(gè) VIP 帳戶�����,還可以控制整個(gè)客戶群�。
安全建議:建議使用基于非短信的方式進(jìn)行身份驗(yàn)證��,例如 Authenticator應(yīng)用程序�����。 VIP 還可以使用聯(lián)合身份和資產(chǎn)管理 (IAM) 系統(tǒng)�,并重新考慮由電信人員處理的 IAM 控制�。
Authenticator是Microsoft官方出品一款全方位保護(hù)Microsoft帳戶安全的安全助手APP�����,你只需使用手機(jī)(而非密碼)登錄到Microsoft帳戶����,且輸入用戶名后就會(huì)批準(zhǔn)發(fā)送到手機(jī)的通知��,還提供指紋、Face ID和PIN等多重安全措施�,給用戶更安全的服務(wù)體驗(yàn)!
總結(jié)
關(guān)鍵垂直領(lǐng)域的電信基礎(chǔ)設(shè)施集成似乎是一個(gè)持續(xù)發(fā)展趨勢(shì),隨著 5G 和 6G 在技術(shù)�、能力�����、財(cái)務(wù)和攻擊面方面帶來(lái)的機(jī)遇��,這種趨勢(shì)可能會(huì)繼續(xù)下去�����。 因此�����,IT 和安全團(tuán)隊(duì)需要意識(shí)到 IT 資產(chǎn)不斷變化的風(fēng)險(xiǎn)���,以及處理此類風(fēng)險(xiǎn)所需的概念���、設(shè)備����、技能和培訓(xùn)的差異�����。 當(dāng)選擇工具來(lái)提高可見(jiàn)性和安全基線時(shí)�����,必須考慮到這些新技術(shù)和發(fā)展所產(chǎn)生的新的依賴關(guān)系�、網(wǎng)絡(luò)關(guān)系和漏洞���。
本文翻譯自:https://www.trendmicro.com/en_us/research/21/g/risks-in-telecommunications-IT.html
