最近幾個星期內(nèi)，網(wǎng)絡(luò)罪犯已經(jīng)侵入了全國各地的數(shù)十個電話系統(tǒng)，利用這些電話系統(tǒng)來聯(lián)系銀行客戶從而誘騙他們泄漏自己的銀行帳號號碼和密碼�！　�
　　這些受害者通常都是與較小型機構(gòu)建立銀行業(yè)務(wù)的，而這些機構(gòu)的詐騙偵查系統(tǒng)往往很差。詐騙者侵入電話系統(tǒng)，然后打給受害者，向他們播放預(yù)錄信息，警告他們說發(fā)生計費錯誤或者因為涉嫌可疑操作銀行帳號被暫停使用，如果擔(dān)心的客戶輸入他的銀行帳號和ATM密碼，那么詐騙犯們就能夠利用這些信息制造假冒的借記卡復(fù)制受害者的銀行帳號。
　　約20年前，各大新聞媒體就報道過黑客攻擊電話公司系統(tǒng)的新聞，這種攻擊方式被稱為“盜播(phreaking)”，但是隨著傳統(tǒng)電腦系統(tǒng)與互聯(lián)網(wǎng)的整合，這也給詐騙創(chuàng)造了新的機遇。
　　“VoIP(互聯(lián)網(wǎng)語音協(xié)議)攻擊是電信和網(wǎng)絡(luò)犯罪的交疊區(qū)的新前沿攻擊，”位于美國新澤西州的助理律師Erez Liebermann表示，“這是非常嚴重的威脅，公司對此要特別注意�！�
　　對于現(xiàn)在最流行的VoIP系統(tǒng)(所謂的Asterisk)的攻擊，現(xiàn)在已經(jīng)拉開序幕，該產(chǎn)品的制造商Digium的開源社區(qū)主管John Todd表示，這就像將棒球棍打爛汽車玻璃然后盜取汽車一樣，他們的第一步就是侵入Asterisk系統(tǒng)。
　　Asterisk攻擊已經(jīng)于2008年9月(當(dāng)簡單易用的工具剛推出時)從低層次的問題演變到非常嚴重的問題，Todd表示：“現(xiàn)在已經(jīng)有很多用戶開始在系統(tǒng)上制作視頻，博客和播客，信息非常豐富�！�
　　通過這些工具，攻擊者可以很輕松地攻擊VoIP系統(tǒng)，只需要對連接辦公室的局域網(wǎng)網(wǎng)絡(luò)通信量到網(wǎng)絡(luò)供應(yīng)商(如AT&T，將電話與世界各地連接)通信量的系統(tǒng)進行攻擊就可以發(fā)動全面攻擊。
　　黑客們試圖猜測VoIP系統(tǒng)的密碼，進行了成千上萬次的猜測。雖然很多互聯(lián)網(wǎng)程序(如Gmail)將會對多次密碼錯誤的用戶進行阻止，但VoIP系統(tǒng)并不是這樣設(shè)定的，它通常允許任何電腦連接到系統(tǒng)。這樣攻擊者就可以不斷對系統(tǒng)進行攻擊，試圖猜測正在允許的電話分機，他們找到一個電話分機，他們就會允許字典攻擊軟件，如果密碼很容易被猜到的話，他們就可以進入網(wǎng)絡(luò)撥打免費電話了。
　　位于西弗吉尼亞州威靈市的Innovative Technologies公司就遇到過這樣的攻擊，他們在10月初受到羅馬尼亞網(wǎng)絡(luò)罪犯的攻擊，網(wǎng)絡(luò)罪犯利用他們的VoIP系統(tǒng)以撥打釣魚攻擊形式的電話，向Liberty銀行的客戶撥打詐騙電話。
　　“他們在互聯(lián)網(wǎng)對整個IP地址進行了全盤掃描以找到VoIP服務(wù)器，”Innovative Technologies公司的首席執(zhí)行官Terry Lewis表示。
　　10月3日，Lewis開始收到Liberty銀行客戶發(fā)來的電話投訴，隨后他檢查了他們的VoIP系統(tǒng)日志，并發(fā)現(xiàn)攻擊者在周末播出了約300個電話，這比他們平時播出的電話都要多很多。
　　VoIP系統(tǒng)一旦被攻擊，網(wǎng)絡(luò)罪犯就用利用系統(tǒng)來執(zhí)行基于電話的釣魚攻擊，這種攻擊方式有時也被稱為vishing(voice和phishing的縮寫)。Vishing攻擊已經(jīng)出現(xiàn)好幾年了，但是卻很難被察覺俄，因為他們的攻擊對象往往是那些較小地區(qū)的銀行，而不是大型國家機構(gòu)。這些攻擊者在實施攻擊后會馬上轉(zhuǎn)移到下一個銀行進行攻擊。
　　據(jù)Liberty銀行表示，最近幾周其他地區(qū)銀行機構(gòu)也通常遭遇過這種來自VoIP系統(tǒng)vishing攻擊。不過Liberty銀行并沒有透露其他被攻擊銀行的名稱。據(jù)稱，Union State銀行和Solvary銀行也報道過類似詐騙攻擊。
　　Lewis很幸運，他們并沒有損失很多電話費，根據(jù)系統(tǒng)的配置，企業(yè)需要為任何電話費(攻擊事件產(chǎn)生的國際電話費用)承擔(dān)責(zé)任。
　　“如果有人開始濫用你的電話系統(tǒng)，你可能為此要支付很多錢，”Digium公司的Todd表示。
　　Liberty銀行的第一副總裁Jill Hitchman認為，攻擊他們銀行的攻擊者可能攻擊了30-35家企業(yè)，大約每天撥打20000-30000次電話。“我不認為這些公司已經(jīng)意識到他們可能要損失很多電話費，”Hitchman表示，“更大的問題是，這些電話系統(tǒng)是如何被攻擊的，為什么我們不能阻止攻擊?”
　　Hitchman表示，只有少數(shù)顧客落入詐騙犯的圈套，但是攻擊者知道他們要做什么。首先他們會注冊AOL帳號，測試銀行卡號是否可行，因為AOL提供免費的試用會員資格，然后攻擊者會將信息導(dǎo)入假ATM卡中，把銀行帳號的錢全部取出來。
　　安全專家表示，企業(yè)可以采取一些措施來抵御這些攻擊：改變他們?yōu)閂oIP系統(tǒng)上SIP(會話發(fā)起協(xié)議)連接使用的端口;在多次失敗后阻止連接以及在為語音系統(tǒng)使用更加復(fù)雜的密碼保護。
　　問題在于，大多數(shù)中小型企業(yè)，安全都不是首要問題，“中小企業(yè)更關(guān)心的問題是他們的電話會議的音質(zhì)是不是很好，”VoIP安全公司Secorix公司的首席技術(shù)工Rodney Thayer表示。
　　他們不認為他們的VoIP系統(tǒng)會像網(wǎng)絡(luò)服務(wù)器或者電子郵件服務(wù)器那樣容易受到網(wǎng)絡(luò)攻擊，這種想法是錯誤的，他們認為VoIP系統(tǒng)是不同的系統(tǒng)，實際上，這些系統(tǒng)都是一樣的機制，所有數(shù)據(jù)都是在網(wǎng)絡(luò)中進行的。

IT專家網(wǎng)