TrendMicro研究人员总结了5G时代企业和电信公司IT基础设施安全态势的特点、威胁和建议。语音拦截语音通话仍然是最受信任的通信类型之一,但是,攻击者仍然可以利用运营商间的信任来利用运营商之间的可信环境、基础设施和互连来实施远程攻击场景。访问国外的电信基础设施也足以进行语音呼叫重定向和拦截。攻击场景可能包括滥用合法安装在酒吧等私人空间的合法室内小型基站,使用Warbox(一种战争沙盒模拟游戏,玩家使用一套工具自定义发动战争或亲自加入战斗。)或使用流氓基站拦截数据和语音呼叫,以及其他可能的情况。鉴于假定的信任度,语音电话拦截攻击或窃听通常以高价值目标为目标,例如高层管理人员、重要政治人物、律师、记者、活动家等。这种类型的攻击不仅可以绕过信息安全,还可以获取可用于影响谈判和交易结果的高价值信息。趋势科技的研究突出了此类攻击的一些引人注目的例子,例如意大利和乌干达的攻击。安全建议:如果可行,将金融部门使用的算法与电信日志结合起来,例如用于反欺诈检测触发器的本福德定律。事件响应(IR)团队可以监控和跟踪滥用和欺诈的发生,提供可警示和可预测的犯罪活动模式。还鼓励用户在他们的语音应用程序中使用点对点加密,并建议尽可能在他们的手机上禁用GSM。SMS拦截开发人员在他们的项目中包含SMS身份验证作为记录和处理一次性密码(OTP)等内容的可靠选项更为常见。然而,由于SMS消息在电信网络中以明文形式交换,因此它们仍然容易受到拦截和降级攻击。电信核心网络是否可以被视为“受保护”,取决于电信公司如何看待“安全域”的概念。但实际上,由于电信核心网通常只有一个域,因此其中的数据只是在外部受到保护,而在内部没有受到保护。因此,黑客或内部人员可以拦截短信或将4G/5G服务区域降级为GSM等安全性较低的网络。SMS也是远程操作技术(OT)系统的备用通道,例如支持空中命令(OTA)的工业路由器和蜂窝OT设备。由于GSM比新的电信技术覆盖范围更广,因此这些系统更容易被拦截。通过社会工程,伪装成遇险用户的攻击者也可以使用SIM交换。通常,攻击者会冒充丢失设备或SIM卡的用户致电电信服务中心。作为响应,服务中心随后将用户的帐户和电话号码转移给攻击者,然后所有短信将发送给攻击者,而不是发送给毫无戒心的合法用户。此前记录的案例包括恶意软件冒充安卓工具窃取身份验证码,更不用说用于侵入电信短信中心的“MessageTap”恶意软件。MESSAGETAP恶意软件的第一个活动是在2019年初被发现的,该黑客工具被编程为针对特定个人,并寻找可能出现在被截获短信中的某些文本字符串和关键字。安全建议:用户应考虑短信以外的其他身份验证方法,例如移动应用程序身份验证器或手机上的推送通知。来电显示欺骗呼叫线路ID欺骗(CLID)是一种基于合法标准的合法活动,用于合法目的,包括在1-800热线号码后面掩盖呼叫中心。它也可能被攻击者滥用来攻击个人,例如那些冒充银行和政府机构等组织的人,在这种情况下,这种攻击场景会滥用与已知数量的组织建立的信任。一种情况是,当客户从他们的银行收到电话或短信时,如果由于某种原因客户无意中通过网络钓鱼站点与攻击者共享了他们的凭据或其他敏感信息,则此传输可能包括采取行动的请求。其他攻击场景包括攻击者冒充执法部门和政府当局;高级官员收到他们认为属于其他官员但实际上属于攻击者的号码;被观察到。在这两种情况下,诈骗者都冒充政府机构或官员购买或接收特定物品。安全建议:作为多层防御策略的一部分,用户和组织应仔细检查来电和短信的来源,并通过使用与短信或呼叫来源相关的电信日志等数据来增强现有流程的能力.TDoS勒索病毒2016年,美国研究人员声称,他们可以利用漏洞和技术手段,轻松使911系统长期瘫痪。攻击者使用了一种称为TDoSDD的攻击方法,也称为“电话拒绝服务攻击”。手段包括用普通用户的手机大量虚假拨打911,造成线路拥堵和信息干扰,使真正需要急救的人得不到救援。电话拒绝服务(TDoS)是DoS的定性模型,其中针对目标合法用户“关闭”服务,这与拒绝服务(DoS)的定量模型形成对比,其中系统流量过载。攻击者滥用电信公司现有的管理欺诈的业务流程来创建一个场景,将目标受害者的电话号码和SIM卡描述为属于欺诈者。电信公司随后封锁了受害者的号码和SIM卡,现在正将其作为可检测欺诈的来源进行跟踪。因此,受害者可能需要亲自访问电信办公室才能恢复服务。这种DoS方法可以被认为是一个“黑旗”,在这种情况下,欺诈是专门为了让受害者(个人或公司)被抓住并阻止而进行的。此类攻击场景包括攻击者位于受害者的SIM卡和电话号码的范围内,以便电信公司可以将其作为欺诈源进行追踪,并将受害者视为高度可疑。攻击者还可以通过多次致电电信公司请求服务恢复来延长数据连接和电话中断时间,从而使电信公司难以区分真假受害者。必须记住,受害者可能既没有连接也没有能力拨打电话,而像这样的中断可能需要受害者长途跋涉才能亲自出现在电信办公室。攻击者可以通过联系受害者并假装有能力恢复服务以换取特定要求,进一步利用这种情况进行勒索。安全建议:作为客户,组织和用户都可以与其各自的销售客户代表或主管建立牢固的关系,以绕过流程中的漏洞并恢复连接和电话服务。从这个意义上讲,还建议使用其他方式与此类联系人进行交流。SIM卡劫持SIM卡劫持方式(SIM-jacking),是不法分子获取个人电话号码和信息,冒充手机用户,向电信厂商的技术服务人员申请一张新的SIM卡,然后通过短信访问用户的电话号码。帐户信息,甚至窃取电子钱包。捕鲸源自“网络钓鱼”一词,是一种欺诈性攻击,网络钓鱼者会找到公司高层管理人员或执行团队的姓名和电子邮件地址(此类信息通常可在网页上免费获得),并编写电子邮件适合这些人及其在公司的职位。这些电子邮件试图诱骗高管、记者、政治家、首席执行官、名人、运动员等点击链接并访问网站,恶意软件会下载到他们的计算机并复制击键日志或搜索敏感信息或公司机密。SIM劫持,也被其他人称为SIM交换,是一种将目标“鲸鱼”手机流量重定向到攻击者的攻击。这允许攻击者向其他员工发起语音呼叫或消息以进行商业电子邮件泄露(BEC),例如拦截基于SMS的多因素身份验证(MFA)代码或授权公司银行转账。最简单的方法之一是通过使用多个攻击点和人员的社会工程,特别是针对电信公司内的点或个人。更重要的是,通过单点有效性,攻击者不仅可以控制单个VIP帐户,还可以控制整个客户群。安全建议:建议使用非基于短信的方法进行身份验证,例如Authenticator应用程序。VIP还可以使用联合身份和资产管理(IAM)系统,并重新考虑由电信人员处理的IAM控制。Authenticator是微软官方出品的一款安全助手APP,全面保护微软账户安全。您只需要使用您的手机(不是密码)登录您的微软账户,输入您的用户名后,您将批准发送到您手机的通知并提供您的指纹。、FaceID和PIN等多重安全措施,给用户更安全的服务体验!总结随着5G和6G带来新的技术、能力、资金和攻击面,关键垂直领域的电信基础设施集成似乎是一个持续的发展趋势。鉴于即将到来的机会,这种趋势可能会持续下去。因此,IT和安全团队需要了解IT资产不断变化的风险,以及处理此类风险所需的概念、设备、技能和培训方面的差异。在选择工具来提高可见性和安全基线时,必须考虑这些新技术和发展产生的新依赖关系、网络关系和漏洞。本文翻译自:https://www.trendmicro.com/en_us/research/21/g/risks-in-telecommunications-IT.html如有转载请注明出处。
