转译自:Pierre Jourdan(3CX 应用安全与互操作经理)

本篇博文是讨论我们观察到的最新电话欺诈和黑客方案系列文章的第二篇。在第一卷中,我们讨论了使用弱密码的问题。现在,我们将重点关注黑客通常觊觎的“肥肉”:通过你的 SIP 中继进行“免费”通话。

黑客的终极目标是什么?

一旦攻击者获得了用户设备或分机的访问权限,他们通常会潜伏起来,直到深夜或周末。他们会等到办公室空无一人时,尝试向国外目的地拨打测试电话。一旦发现某个目的地可以打通,他们就会向该目的地发起大批量的呼叫。这就是电话欺诈(Call Fraud)。

这些拨打的目的地通常是收费高昂的付费号码,连接到播放预录制语音的自动 IVR(互动式语音应答)系统,黑客会设法让通话时间尽可能延长。你可能会问,这样做有什么意义?

简单来说,黑客能从中获利。他们通过在线付费号码经纪商预先设置了这些号码,每接通一个电话或每分钟通话,他们都能获得佣金。高额的通话费用将由你的 VoIP 供应商自动支付给付费服务提供商,后者向号码持有者(黑客)支付佣金并扣除余下的部分。

最终,你将收到 VoIP 供应商寄来的巨额账单——而此时往往为时已晚。

背景信息

这种类型的电话欺诈被称为国际营收共享欺诈 (IRSF) 方案,这种手段已存在至少 40 年。然而,随着 VoIP 技术的发展,它已变得工业化和自动化。据通信欺诈控制协会 (CFCA) 估计,IRSF 导致的年损失高达数十亿美元,并预计在 2025 年将成为头号欺诈类型,损失近 110 亿美元,在过去五年中翻了一番。

底线是——如果你的系统遭受电话欺诈,你可能需要支付一份巨额账单。运气好的话可能只是几百当地货币,但更常见的是成千上万甚至更多。

是什么导致了电话欺诈?

简而言之,是由多种因素和不良操作共同导致的,我们将详细阐述。

出站规则配置混乱

配置外呼规则

首先,你应该正确配置外呼规则 (Outbound Rules),不要使用“宽松”的规则。最佳操作是将国际号码和国内/本地号码的规则分开,并对国际规则进行最严格的限制。

根据 ITU 标准,国际号码通常以退出代码开头,如大多数国家的 +00。其他国家(如美国)则不同,为 011。因此,你可以创建一个前缀标准为 00,+ 的规则,并严格定义谁可以通过此规则拨打电话(通过列出特定分机号或分机组)。

许多国家的本地号码以 0 开头或具有固定长度,这些也可以作为判定标准。

允许的国家列表

其次,“安全”页面下的允许国家代码列表应当严格根据每个客户的需求进行调整。切勿为了省事而启用所有国家,或者想着“以后再调”。默认情况下,为了减少电话欺诈,3CX 系统仅限制在安装地所在国家。

当拨打国际号码时,系统会检查是否存在匹配的外呼规则,并核实该国家代码是否被允许,然后才会放行通话。

注意: 有些供应商允许不带前缀拨打国际号码(例如拨打 33123456789 连接到法国)。如果是这种情况,你需要向 VoIP 供应商确认并相应调整规则。

使用美国供应商的终端注意事项

北美编号计划 (NANP) 存在类似情况,该计划经常在电话欺诈中被滥用以拨打加勒比地区电话。所有美国供应商都允许将拨往这些地区的电话视为本地代码。例如,你可以通过 18091234567 连接到多米尼加共和国,这不会触发“允许国家代码”检查,因为它被解释为本地号码。而 +1809123456701118091234567 则会被拦截(如果对应国家代码被禁用)。

为了应对这种情况,你需要在所有规则之上添加一条外呼规则,将前缀标准设为要屏蔽的 NANP 地区列表(以逗号分隔),并将线路保持为空。

最后的几道防线

最后,在打击电话欺诈方面还存在其他控制手段。如果 VoIP 供应商提供用户控制面板,应进行如下配置:

  • 配置国家限制,使其与 3CX 中的设置匹配。

  • 限制最大外呼并发通话数

  • 设置信用额度限制,避免开启自动充值。

  • 开启邮件通知或在检测到异常呼叫活动后自动封锁账户

敬请期待下一集。

如果我收到来自 EDR/杀毒软件的安全警报该怎么办? 请向你的杀毒软件厂商报告该问题。一旦获得其《杀毒软件厂商报告》,请通过提交联系表单并选择“Security & Data Protection”(安全与数据保护)选项与我们分享。如果你有 3CX 合作伙伴,请立即向他们报告任何安全警报。