電信業者的 IT 風險

 

電信 (telecommunications)是 IT 研究 200 年來的其中一個領域。趨勢科技最新的一份研究報告「電信孤島的 IT 風險」(Islands of Telecoms: Risks in IT) 將電信比喻成 IT 大洋中的孤島,這些看似零散的島嶼,其實海床底下連接著更大的一片大陸。的確,儘管不同電信功能之間看似截然不同,但集合起來,就構成了整個電信領域的基礎。

以下的段落將說明這份研究概要中指出的企業與電信業 IT 基礎架構特性及潛在資安威脅,並提供一些資安改善的建議。

語音通話攔截


語音通話依然是人們最信賴的一種通訊方式,然而,駭客還是有辦法駭入電信業者所信任的環境、基礎架構,以及電信業者之間的互連與互信來發動各種遠端攻擊。駭客若能駭入境外國家的電信基礎架構,還可轉接和攔截語音通話。駭客可能的攻擊情境很多,其中之一就是在一些裝有小型合法基地台的室內私人空間 (如酒吧),使用戰鬥手提箱 (war box) 內的惡意基地台來攔截資料通訊和語音通話。

由於一般人大多信賴語音通話,所以駭客會攔截 (或竊聽) 一些高價值對象的電話,例如:企業 CXX 級主管、重要政治人物、律師、記者、激進份子等。這類攻擊不僅能繞過資安防護,還能竊取一些可利用的高價值資訊,藉此影響談判或交易的結果。

建議: 可以的話,可利用金融業採用的一些演算法 (如 Benford’s Law) 來分析通聯記錄以偵測可能的詐騙情形。當事件應變 (IR) 團隊發現可能出現詐騙時,就能進行監控和追蹤,進而建立可預測的犯罪行為模式並發出警示。此外,使用者最好啟用語音通話軟體的點對點加密功能,如果尚在使用GSM服務也最好關閉此通訊技術。

手機簡訊攔截


越來越多程式開發人員會在帳號登入或處理交易時將手機簡訊認證列為可靠的認證選項之一,例如 OTP 一次性密碼。不過,手機簡訊在電信網路內部是以明碼方式傳送,所以很容易被駭客攔截或遭到降級攻擊。

電信核心網路一般被視為安全的網域,但這要看電信業者對於「安全網域」的認知。事實上,由於電信核心網路是一個單一網域,因此資料只有在這網域內部才受到保護,一旦出了這個網域便暴露在外。所以,駭客或內賊將可攔截手機簡訊或將某個 4G/5G 服務區域降級為安全性較低的網路,例如 GSM 網路。

此外,手機簡訊也是遠端營運技術 (OT) 備用的通訊管道,例如工業路由器和手機行動網路 OT 裝置,這些裝置都支援透過無線 (OTA) 方式接收指令。由於舊式 GSM 通訊技術較新一代電信技術的涵蓋範圍更廣,因此更有機會遭到攔截。

此外,駭客也可利用社交工程(social engineering )技巧來偷偷換掉手機用戶的 SIM 卡,其方式是假扮成遺失 SIM 卡的手機用戶打電話到電信業者客服中心,謊稱自己遺失了手機或 SIM 卡,讓服務人員重發一張 SIM 卡給他,並將被害人的手機帳戶和電話號碼轉到新的 SIM 卡上,接下來駭客就能收到被害人的所有手機簡訊,而被害人毫不知情。之前發生過的案例包括有惡意程式偽裝成 Android 工具來竊取認證碼,以及一個專門駭入電信業者手機簡訊發送中心的「 MessageTap 」惡意程式。

建議: 使用者應考慮使用手機簡訊以外的方式來進行認證,例如:行動應用程式或手機推播訊息。

指定發話號碼


指定發話號碼 (CLID) 是一項產業標準所支援的合法服務,其用途之一是用來隱藏熱線電話 (如美國的 1-800 電話) 背後的電話號碼,但這項功能卻可能被駭客用來攻擊一般用戶,例如,駭客可以假扮成銀行或政府機關打電話給用戶。由於有些機構的電話號碼廣為人知,所以不會讓人起疑,這類攻擊就是利用這點。

可能的攻擊情境之一是客戶接到一通來自有往來銀行的電話或收到一則簡訊,銀行告訴客戶其帳戶發生某些問題必須立即處理,藉此誘騙客戶連上某個網站來提供自己的登入憑證或其他敏感資訊,但這其實是駭客的網路釣魚網站。其他可能的攻擊情境還有:

  • 駭客假扮成執法機關或政府單位。
  • 高階政府官員接到來自其他官員的電話,但實際上卻是駭客打來的。
  • 駭客使用客戶的電話號碼來驗證撥打給企業機構的電話。

2020 年,澳洲新加坡都出現過這類攻擊案例。在這兩起案例中,相關單位都對社會發出警告,告知大眾有駭客正在假冒政府機關或官員名義來購買某些物品或冒名取貨。

建議:使用者和企業機構應再三查證手機來電與簡訊的來源,採取一種多層式防禦策略。此外,也建議強化既有的營運流程,善用資料 (如通聯記錄) 來偵測簡訊或通話的源頭。

阻斷電話服務 (TDoS) 勒索


一般的阻斷服務 (DoS) 攻擊是利用龐大的網路流量來癱瘓電腦系統,但阻斷電話服務 (TDoS) 攻擊卻是直接切斷目標對象的電話服務。駭客利用的是電信業者現有的反詐騙流程,製造一種情況讓受害者的電話號碼和 SIM 卡看似詐騙集團的號碼,促使電信業者封鎖受害者的號碼和 SIM 卡,並將該號碼列為詐騙電話。最終,受害者可能必須親自臨櫃到電信業者的營業據點辦理復話。

這種阻斷服務的手法有點像是陷害,其目的是要讓受害者 (某人或某家企業) 遭到逮捕或封鎖。駭客在執行這類攻擊時,必須在受害者的 SIM 卡及電話號碼的範圍內,好讓電信業者判斷它是詐騙集團的號碼,或者讓受害者未來被列為高度可疑對象。不僅如此,駭客還可利用一些技巧來拖延資料通訊與語音服務的復原時間,故意假冒受害者撥打好幾次電話到電信業者要求復話,讓電信業者無法分辨到底哪個才是真的受害者。

值得注意的是,由於受害者可能無法連上網路或無法撥打電話,所以必須大老遠親自跑到電信業者的營業據點,只為了讓他們看到本人。所以駭客可能會趁機敲詐,主動聯絡受害者,假裝可以幫忙復話,進而提出某些要求。亞太地區曾經發生的多起國際通話費拆帳詐騙 (IRSF) 案例就是利用這種攻擊情境。


建議:企業應和客戶的業務聯絡窗口或高層主管建立良好關係,以避免網路連線或電話服務中斷時的通訊空窗期,可透過另一種管道來與對方聯繫。

挾持 SIM 卡來進行網路捕鯨


「網路捕鯨」(Whaling) 一詞衍生自「網路釣魚」(Phishing),只不過網路捕鯨針對的是所謂的「大魚」,也就是重要人物,例如:記者、政治人物、企業執行長 (CEO)、名人、運動選手等等。SIM 卡挾持 (SIM-jacking) 亦稱為 SIM 卡偷換 (SIM swapping),是將目標對象 (重要人物) 的手機通訊全部轉到駭客手機的一種手法。如此,駭客就能假冒被害對象身分撥打電話或發送簡訊給其他員工來進行變臉詐騙 (BEC),此外還可攔截多重驗證發送的手機驗證碼,或授權銀行轉帳。

駭客達成攻擊目標最簡單的方式之一就是針對多個入侵點或人員 (尤其是電信業者內部的入侵點或員工) 發動社交工程攻擊。更重要的是,駭客只要突破單點,接下來就能掌握所有的客戶,而非只有重要人物一個人的帳號。


建議:採用手機簡訊以外的認證方式,例如透過手機應用程式來認證。而重要人物自己也可採用聯合身分與資產管理 (identity and asset management ,IAM) 系統,並重新檢討電信業員工所經手的 IAM 控管措施。

結論

對所有關鍵垂直產業來說,電信基礎架構的整合是大勢所趨,這樣的整合也將延續到 5G 和 6G 所帶來的商機,影響範圍遍及技術、經濟和威脅攻擊面等層面。因此,IT 與資安團隊必須隨時掌握 IT 資產不斷演進的風險,此外也應了解自己在觀念、設備、技能與教育訓練上的落差,以便應付這樣的風險。畢竟,在挑選工具來提升可視性與資安體質的同時,其衍生的相依性、網路關係,以及這些新技術與新發展所帶來的漏洞,都必須納入全面考量。

原文出處:Risks in Telecommunications IT