5G时代电信 IT 基础设施中所潜藏的安全风险
摘要:趋势科技的研究人员总结了改善企业和电信公司 IT 基础设施安全状况的特征、威胁和建议。 |
趋势科技的研究人员总结了改善企业和电信公司 IT 基础设施安全状况的特征、威胁和建议。
语音拦截
语音通话仍然是最受信任的通信类型之一,尽管如此,攻击者仍然可以利用运营商间的信任来利用可信环境、基础设施和运营商之间的互连来实施远程攻击场景。访问国外的电信基础设施也足以进行语音呼叫重定向和拦截。攻击场景可能包括滥用合法安装在私人空间(如酒吧)中的合法室内小型基站、使用Warbox(一款战争沙盒模拟游戏,玩家可借助一系列工具,按照所希望的样子自定义战场,然后观看战争进行或亲身加入战场。)或使用流氓基站拦截数据和语音通话,以及其他可能的场景。
鉴于假定的信任程度,语音呼叫拦截攻击或窃听通常针对高价值目标,例如高层管理人员、重要政治人物、律师、记者、活动人士等。这种类型的攻击不仅可以绕过信息安全,还可以访问可用于影响谈判和交易结果的高价值信息。趋势科技的研究突出了这类攻击的一些引人注目的例子,比如意大利和乌干达的袭击。
安全建议:如果可行,可以将金融领域使用的算法与电信日志(如用于反欺诈检测触发器的本福特定律)结合起来。事件响应(IR)团队可以监控和跟踪滥用和欺诈行为的发生,为犯罪行为提供可警觉和可预测的模式。用户也被鼓励在他们的语音应用程序中使用点对点加密,并建议在可能的情况下禁用手机上的GSM。
短信拦截
更常见的情况是,开发人员将 SMS 身份验证包括在他们的项目中,作为记录和处理一次性密码 (OTP) 等事务的可靠选项。然而,由于短信在电信网络内以明文形式交换,因此仍然容易受到拦截和降级攻击。
电信核心网络可以被认为是“受保护的”,这取决于电信公司如何看待“安全域”这一概念。但实际上,由于电信核心网通常只有一个域,因此其中的数据只受外部保护,内部不受保护。因此,黑客或内部人员可以拦截短信或将 4G/5G 服务区降级到安全性较低的网络,例如 GSM。
SMS 还是用于远程操作技术 (OT) 系统的备份通道,例如支持空中命令 (OTA) 的工业路由器和蜂窝 OT 设备。由于 GSM 的覆盖范围比新一代电信技术更广,因此这些系统更容易被拦截。
通过社会工程,SIM卡交换也可以被攻击者使用,他们假装是处于困境的用户。通常,攻击者假装是丢失设备或SIM卡的用户,呼叫电信服务中心。作为回应,服务中心随后将用户的帐户和电话号码转移给攻击者,然后所有的文本信息将被发送给攻击者,而不是发送给不知情的合法用户。先前记录的案例包括恶意软件冒充 Android 工具窃取身份验证代码,更不用说用于入侵电信短信中心的“MessageTap”恶意软件。MESSAGETAP恶意软件的第一次活动是在2019年初发现的,该黑客工具经过编程,可以针对特定的个人,也可以寻找某些文本字符串和关键字,这些字符串可能出现在拦截的文本消息中。
安全建议:用户应考虑其他身份验证方式,而不是短信,例如移动应用程序 Authenticator或手机推送通知。
来电显示欺骗
呼叫线路 ID 欺骗 (CLID) 是一种合法的基于标准的活动,用于合法目的,包括掩盖1-800热线号码后面的呼叫中心。它也可能被攻击者滥用以攻击个人,例如冒充银行和政府机构等组织的攻击者,这样的攻击场景会滥用与已知数量的组织建立的信任。
一种情况是客户接到银行打来的电话或短信,这种传输可能包括由于某些原因导致客户无意中通过钓鱼网站与攻击者分享他们的凭证或其他敏感信息而提出的行动请求。其他攻击场景还包括:
攻击者冒充执法机构和政府当局;
高级官员接到他们认为属于其他官员但实际上属于攻击者的号码;
值得注意的是,像这样的攻击在2020年在澳大利亚和新加坡均被观察到。在这两起案件中,诈骗者会冒充政府机构或官员购买或领取特定物品。
安全建议:作为多层防御策略的一部分,用户和组织应仔细检查来电和短信的来源,另外通过使用与文本消息或呼叫来源相关的电信日志等数据来增强现有流程的能力。
TDoS 勒索
2016年就有美国研究人员称,他们利用漏洞和技术手段可以很轻易地在相当长时间里使911系统陷入瘫痪。攻击者使用了一种叫TDoSDD的攻击方法,也称作“电话阻断式攻击”(telephony denial-of-service attack)。手段包括利用普通用户的手机大量拨打虚假的911报警电话,从而造成线路堵塞和信息干扰,使得那些真正需要急救的人无法得到救援。
与系统因流量过载而导致系统过载的拒绝服务 (DoS) 定量模型相比,电话拒绝服务 (TDoS) 是一种 DoS 定性模型,其中针对目标合法用户“关闭”服务。攻击者滥用电信公司管理欺诈的现有业务流程,以创建一个场景,将目标受害者的电话号码和 SIM 卡描绘为属于欺诈者。电信公司随后会阻止受害者的号码和 SIM 卡,现在将其作为可检测欺诈的来源进行跟踪。因此,受害者很可能需要亲自到电信办公室办理业务以恢复他们的服务。
这种 DoS 方法可以被认为是一个“黑旗(black flag)”,其中欺诈是专门为了让受害者(个人或公司)被抓住和阻止的目的而进行的。此类攻击场景包括攻击者位于受害者 SIM 卡和电话号码的范围内,以便电信公司将其作为欺诈来源进行跟踪,并将受害者视为高度可疑的继续前进。攻击者还可以通过多次致电电信公司请求恢复服务来延长数据连接和电话的中断时间,从而使电信公司难以区分真假受害者。
必须记住,受害者可能既没有连接也没有打电话的能力,而像这样的中断可能需要受害者长途跋涉,只是为了亲自出现在电信办公室。攻击者可以通过联系受害者并假装有能力恢复服务以换取特定要求来进一步滥用这种情况进行勒索。
安全建议:作为客户,组织和用户都可以与各自的销售客户代表或主管建立牢固的关系,以绕过流程中的漏洞,恢复连接和电话服务。从这个意义上讲,还建议使用其他方式与此类联系人进行通信。
通过 SIM-jacking 捕鲸
SIM卡劫持手法(SIM-jacking),就是犯罪者取得个人电话号码和资讯,假冒手机用户,向电信厂商技术服务人员申办新的SIM卡,之后透过简讯存取用户的帐号资料,甚至盗用电子钱包。捕鲸来自“网络钓鱼”一词,捕鲸 (Whaling)是一种欺诈类型攻击,钓鱼者找到某个公司高层或高管团队的姓名和电子邮件地址(此类信息通常会在网页上免费提供),并撰写与这些人员及其公司职位相称的电子邮件。 这些电子邮件会试图诱使高管们、记者、政治家、首席执行官、名人和运动员等单击某个链接并访问某个网站,在此恶意软件会下载到其计算机中,并复制按键记录或搜出敏感信息或公司机密。SIM 卡劫持也被其他人称为 SIM 交换,这是一种将目标“鲸鱼”的手机流量重定向到攻击者的攻击。这允许攻击者向其他员工发起语音呼叫或消息以进行商业电子邮件泄露 (BEC),例如拦截基于 SMS 的多因素身份验证 (MFA) 代码或授权公司银行转账。
最简单的一个方法就是通过使用多个攻击点和人员的社会工程,特别是针对电信公司内的点或个人。更重要的是,只要有一个有效点,攻击者就不仅可以控制一个 VIP 帐户,还可以控制整个客户群。
安全建议:建议使用基于非短信的方式进行身份验证,例如 Authenticator应用程序。 VIP 还可以使用联合身份和资产管理 (IAM) 系统,并重新考虑由电信人员处理的 IAM 控制。
Authenticator是Microsoft官方出品一款全方位保护Microsoft帐户安全的安全助手APP,你只需使用手机(而非密码)登录到Microsoft帐户,且输入用户名后就会批准发送到手机的通知,还提供指纹、Face ID和PIN等多重安全措施,给用户更安全的服务体验!
总结
关键垂直领域的电信基础设施集成似乎是一个持续发展趋势,随着 5G 和 6G 在技术、能力、财务和攻击面方面带来的机遇,这种趋势可能会继续下去。 因此,IT 和安全团队需要意识到 IT 资产不断变化的风险,以及处理此类风险所需的概念、设备、技能和培训的差异。 当选择工具来提高可见性和安全基线时,必须考虑到这些新技术和发展所产生的新的依赖关系、网络关系和漏洞。
责任编辑:张华