Выбрать страну:   Выбрать язык:    
RU  
Новости компании в: Москва – +7 (495) 926-2644, Санкт-Петербург – +7 (812) 748-2644, Екатеринбург – +7 (343) 288-7644
Новосибирск – +7 (383) 383-2644, Казань – +7 (843) 558-0068
Ростов-на-Дону – +7 (863) 333-2644, Самара – +7 (846) 211-5510
Главная / Пресс-центр / Новости
версия для печати

Основы безопасности телефонной системы от 3CX. Часть 1

03 апреля'2023

Компания 3CX подготовила цикл статей о различных рисках безопасности и неверных действиях, которые могут привести к вторжению в телефонную систему компании, в частности, на базе решения 3CX. Эта информация будет полезна специалистам, особенно начинающим системным администраторам, защитить коммуникации компании от телефонных мошенников. Не менее важна и защита конфиденциальных данных, например, записей разговоров.

В первой статье цикла автор рассматривает цели, которых добиваются мошенники, а также ошибки настройки системы, которыми им удается воспользоваться.

Зачем нужно ломать систему?

Как выглядит телефонное мошенничество (фрод)? После того, как мошенники получили доступ к аккаунту (добавочному номеру 3CX) или SIP-устройству (телефону, шлюзу), они, как правило ждут наступления ночного времени суток или выходных.

Когда в офисе никого нет, злоумышленники пробуют совершать звонки на различные международные направления. При обнаружении открытого направления, на него совершается огромное количество звонков. К номерам, на которые делаются вызовы, подключены бессмысленные премиальные сервисы. Так звонки попадают на IVR и удерживаются на нем максимально долго.

Хакеры зарабатывают на этом! Они заранее создают IVR у провайдеров и получают комиссию за каждый соединенный вызов или за минуту "разговора". Локальный оператор связи, который обслуживает компанию, автоматически оплачивает указанную сумму провайдеру премиум-сервиса. В свою очередь, провайдер выплачивает комиссию владельцу сервиса — хакеру. А в конце месяца, компания-жертва получает от оператора огромный счет за премиум-звонки — как правило, в это время уже слишком поздно что-то предпринимать.

Этот тип мошенничества называется International Revenue Share Fraud (IRSF) и используется в телекоме на протяжении последних 30 лет. Но с распространением VoIP и автоматизации мошенничество вышло на индустриальный уровень. Убытки от него исчисляются миллиардами. Ассоциация Communications Fraud Control Association (CFCA) называет IRSF самым популярным типом телефонного мошенничества с оборотом в $5,04 миллиарда (по данным 2019 года, опрос Fraud Loss Survey).

Технологии злоумышленников

"Начинающие" хакеры используют несложную технологию брутфорс-атак (метод перебора учетных данных). Любая АТС, установленная в облаке, является потенциальной целью такой атаки. Однако 3CX использует собственный механизм безопасности, который сразу блокирует подозрительный IP-адрес.

К сожалению, на сегодняшний день появился целый арсенал технологий сокрытия источника атаки для "продвинутых":

  • сервисы анонимизации (VPN, различные proxy и TOR), позволяющие скрывать учетные данные и серверы злоумышленников;
  • скомпрометированные компьютеры, которые превращаются в "зомби" в распределенном управляемом ботнете;
  • легитимные VoIP-провайдеры и устройства, которые были захвачены и теперь используются для атак на систему компании от своего имени (часто с разрешенных IP-адресов);
  • комбинация всего вышеперечисленного и еще чего-то нового, что появляется практически ежедневно.

Со своей стороны компания 3CX делает все возможное для обеспечения максимальной безопасности системы сразу после ее установки. Рассмотрим ошибки и неверные решения, которые могут стоить компании-пользователю системы очень дорого.

Слишком простые пароли

Слабозащищенные учетные данные на любом уровне подвергают коммуникационную систему следующим рискам:

  • доступ злоумышленников к интерфейсу управления 3CX или пользовательскому интерфейсу (веб-клиенту);
  • захват номера пользователя для неавторизованных звонков за счет компании;
  • утечка конфиденциальной информации, например, записей разговоров;
  • действия злоумышленника от имени легального пользователя и пр.

Компания 3CX гарантирует, что после установки коммуникационной системы 3CX достаточную надежность имеют все созданные учетные данные:

  • учетные данные SIP-пользователя;
  • пароли для входа в веб-клиент;
  • пароли для входа в интерфейс IP-телефона;
  • данные для доступа к шлюзам и факс-аппаратам;
  • пароль для доступа к туннелю 3CX;
  • PIN-коды голосовой почты и конференций.

Не стоит менять эти пароли для тестирования или упрощения работы. Простой пароль делает систему уязвимой для брутфорс-атак. Если по крайней необходимости все-таки нужно изменить пароль, его лучше перегенерировать — сложный пароль будет заменен равноценным по сложности. Для перегенерации пароля необходимо перейти в раздел Пользователи, выбрать одного или нескольких пользователей и нажать Пересоздать.

7b217a7b1f5ce9cbbb110bd609a49cb2.png

Игнорирование предупреждений

Иногда в интерфейсе управления 3CX появляются важные предупреждения, сигнализирующие о проблемах с учетными данными. Предупреждения содержат подробную информацию о проблеме и подсказку для администратора, например:

  • слабый пароль для входа в веб-клиент;
  • слабый логин SIP-аутентификации;
  • слабый пароль SIP-аутентификации;
  • слабый пароль для входа в веб-интерфейс телефона и пр.

В некоторых случаях требуется немедленное вмешательство администратора — например, если пользователь не только имеет слабый логин и пароль SIP, но еще и опция Запретить подключение из публичной сети у него отключена.

fcd42bc9c8676c861a14518d3a3e1517.png

Этот случай считается самым опасным, так как это открывает учетную запись SIP для внешнего сканирования и брутфорс-атак. По умолчанию все пользователи создаются с включенной опцией Запретить подключение из публичной сети, которая блокирует весь внешний трафик на добавочный номер. Ее следует отключать только в том случае, если удаленный SIP-телефон подключается "напрямую" по технологии STUN. Однако если используются фирменные клиенты 3CX, отключать опцию не придется, т. к. клиенты используют собственный безопасный протокол.

Непродуманные исходящие правила

5c70ff79e16434c2824637bf06e07a24.png

Слишком "демократичные" исходящие правила 3CX также могут добавить администратору немало лишней работы. Лучше всего иметь отдельные правила для международных и локальных номеров, причем международные направления должны быть максимально ограничены.

Интернациональный номер, в соответствии со стандартом ITU, начинается с префикса + или 00. Поэтому следует создать исходящее правило именно с этим международным префиксом ("00,+") и тщательно продумать, какие пользователи/группы могут его использовать. Таких пользователей нужно явно перечислить в правиле через тире или запятую.

Локальные номера большинства стран начинаются с префикса 0 либо имеют фиксированную длину. Эти параметры также можно использовать в исходящих правилах.

Открытые международные направления

Администратору следует обратить внимание на список разрешенных международных направлений в разделе Безопасность -> Международные направления. Никогда не стоит открывать сразу все направления. Лучше, наоборот, отключить все и постепенно включать только те, что необходимы для работы.

По умолчанию для вызовов разрешена только та страна, которая была указана при установке сервера 3CX. Это позволяет максимально обезопасить систему прямо из коробки. При звонке на международный номер система проверяет как наличие соответствующего исходящего правила, так и список разрешенных направлений, и только после этого пропускает вызов.

Однако стоит быть осторожными с международными номерами, которые могут быть набраны в нестандартном формате. Некоторые операторы пропускают такие номера без международного префикса. Например, по номеру 33123456789 злоумышленник без особых проблем дозвонится до Франции. Если оператор компании пропускает такие номера, необходимо учитывать это в исходящих правилах.

Статистика

В завершение первой части обзора рассмотрим актуальную статистику вторжений, чтобы наглядно увидеть всю серьезность ситуации.

Отдел безопасности 3CX изучил 225 успешных атак на платформу 3CX за последние 4 года. На момент написания статьи в мире работает около 600 000 систем 3CX.

255 (взломов) /600 000 (установок) х 100 = 0.04% систем взломано. Иными словами, пострадала всего 1 система на 2400 успешно защищенных. То есть, 99.96% систем 3CX взломать не удалось — и это прекрасный результат.

Процент успешных взломов в разных странах

США (21%)
Великобритания (15%)
Франция (13%)
Германия (8%)
Бельгия (5%)

fa8ac2261827c34907eceecb05dab13f.png

Общее количество взломов, зафиксированных в течение года

04e6a33f3795d94e5fec37d0a491ec1d.png

К сожалению, взломы телефонии — растущий тренд. Особенно много их было в 2021 году — возможно, это связано с распространением режима дистанционной работы.

Куда обращаться за помощью

Если компания стала жертвой телефонного фрода или взлома АТС, либо системного администратора беспокоят вопросы безопасности, необходимо открыть тикет в хелпдеск-системе 3CX в разделе Fraud.

Если имеется подозрение на утечку конфиденциальных данных, опишите проблему и отправьте информацию по адресу dpo@3cx.com.

Основы безопасности телефонной системы от 3CX. Часть 2

Источник: блог компании 3CX




Теги: 3cx, IP-АТС, база знаний, безопасность

Возврат к списку

© ООО "АйПиМатика", 2010-2024
Подписаться на рассылку 		Создание сайта - ICO