行動電話如何變成企業威脅?

在去年,手機的數目已經超過了全世界的總人口數。在美國手機用戶的數量超過了傳統室內電話用戶,而且有一半的人只用手機通訊。在現代的智慧化城市裡,無線建築正逐漸成為一般家庭、工廠和公司的新建設標準。有線電話遲早有一天會消失。

儘管電話詐騙聽似古老的駭客技術,電話(特別是手機)對使用者和企業來說仍然很重要。就像企業電子郵件帳號會成為魚叉式釣魚攻擊(SPEAR PHISHING)的目標一樣,公司電話現在也會成為網路犯罪分子社交工程(social engineering )攻擊的目標。

比方說,使用者在不知不覺中給出自己的公司電話號碼(如在社群網站上),讓詐騙分子可以輕易地這些地方入手來收集所需的電話號碼。這些人接著用社交工程攻擊來躲過一般網路和電子郵件所具備的保護機制。

雖然電話阻斷服務攻擊及自動撥號攻擊是已知且被認為只是擾人的事情,行動電話出現更加複雜的攻擊,主要是在手動及社交工程電話的方式。趨勢科技前瞻性威脅研究(FTR)團隊(與紐約大學、新加坡管理大學和喬治亞理工學院合作)最近部署了一套行動電話蜜罐系統(mobipot)來研究行動電話威脅和網路犯罪生態系統。我們不僅想知道這些攻擊怎麼進行,還有網路犯罪組織的方式。

Mobipot用honeycard(由研究人員管控的SIM卡,會記錄電話和訊息形式的攻擊)配置。這些honeycard的號碼透過多種方式來送給可能的攻擊者,包括執行手機病毒來洩露儲存在測試手機上聯絡人的號碼。

 

圖一介紹了Mobipot的架構,圖二則秀出其硬體。

圖1、Mobipot架構

圖2、Mobipot硬體

詐騙來電和簡訊大多數都出現在上班時間,可以看出網路犯罪分子想將其混入正常流量加以掩護

經過超過七個月的時間,研究人員收集了來自215發送者的1,021則訊息及來自413組號碼的634通語音電話。有超過80%都屬於不正常的來電或訊息,包括垃圾訊息、語音釣魚和針對性攻擊等威脅。

這些來電和簡訊大多數都出現在上班時間。可以看出網路犯罪分子想將其混入正常流量好看起來合法。詐騙分子還利用GSM代理系統和VoIP技術來掩飾偽造自己的發話號碼,讓傳統的黑名單偵測技術無法發揮效用,必須具備能考量脈絡資訊的新技術。

 

詐騙和垃圾訊息佔這些不正常通訊的 65%

用自動撥號和簡訊的方式出現,詐騙和垃圾訊息佔這些不正常通訊的65%。Mobipot收到的訊息包括提供鈴聲、行動資費方案、網路服務和遊戲及其他種類的廣告。下面是一些有趣的例子:

  • 私家偵探提供盯哨和監視服務
  • 駭客服務,如進入個人電子郵件和監聽使用者。
  • 交易非法商品,如偷來的信用卡、被入侵的支付帳戶、Paypal與驗證的餘額以及不同金額和形式的發票。
  • 政治宣傳(在中國收到):「祝你新年平安。這通電話是想告訴你中國的苦難仍在繼續。我們要如何可以不浪費錢?[…]忠於中國共產黨。在我們的計畫中要改革土地[…]」

詐騙分子謊稱自己來自銀行、非盈利組織或朋友

詐欺通常是手動進行,利用社交工程來誘騙受害者進行匯款交易。經常會包含多個步驟,詐騙分子先多次跟同一名受害者通電話,接著是用簡訊。這些是詢問受害者的付款狀態。打電話的詐騙分子謊稱自己來自銀行、非盈利組織或朋友。

比方說,一些詐騙分子裝作honeycard的電信業者。他們「通知」服務將因沒有繳錢而暫停,隨後也傳送了繳款資訊。另一個例子是詐騙分子冒充為快遞服務,要求支付一定費用來釋放海關扣留的包裹。

Mobipot也看到有詐騙分子要求使用者的私人資料,如姓名、特定帳戶的密碼或個人即時通號碼和帳號。

下圖顯示出我們的honeycard和一些被用來進行攻擊的號碼間的連結。方塊代表我們的honeycard(與它們將號碼送給攻擊者的方法)。每個圈圈代表單獨的攻擊,裡面的數字顯示有多少組號碼被使用。要注意的是在許多情況中,多起活動是由同一攻擊者(小圓圈間的連結)所進行。多數honeycard也都被不同攻擊當作目標。

圖3、攻擊活動與honeycard間的連結

 

可能的解決方案

研究顯示出公開電話號碼有一定的風險,員工(特別是在公司內具備敏感身分)應該要了解這些風險。對某些人來說,不給聯絡資訊可能是必要的。或是將個人和工作用手機(包括所用的號碼)完全分開會是個好作法。

無論一個人的正式號碼是否分開使用,員工都該接受如何處理可疑電話的訓練。今日良好的安全訓練已經包括如何處理可疑的電子郵件,也就是需要確認寄件者的身份,電子郵件內的任何指示也必須加以驗證。這些做法已經成為防禦變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊的一部分;相同的邏輯可以(也應該)施加在電話和簡訊上。如果必要,這些可以成為組織政策的一部分並且強制執行。

在技術方面。來電可以透過安全產品(如趨勢科技行動安全防護)過濾。這提供使用者額外的工具來管理在手機上收到的電話。

 

結論

我們的研究再次顯示出網路犯罪如何快速地適應這不斷變化的世界。詐騙者了解到行動電話如何對數百萬人的正常生活發揮重要作用,並找出不同方式來利用行動電話進行精細而有效的社交工程攻擊。

在組織型犯罪和針對性攻擊越來越頻繁的世界中,員工的行動設備現在也可能為組織帶來危害。行動電話蜜罐系統讓我們的研究人員可以揭示這些威脅的新面貌。

我們最初在中國西安的第11届ACM亞洲電腦與通訊安全國際會議(The 11th ACM Asia Conference on Computer and Communications Security)上公開此研究,包括我們的報告細節 – MobiPot:用Honeycard了解行動電話威脅。我們最近在2017亞洲黑帽大會上做出進一步的研究發表,集中在亞洲的部分 – 行動電話威脅在亞洲。我們報告的投影片如下。