导致被攻击盗打发生的常见错误操作

电话系统被盗打的现象虽然我们见到的不是很多,但是也是需要我们引起关注的,其中几个错误配置导致3CX的不必要暴露和危害是导致盗打发生的一些原因。在这篇博文中,我们将重点介绍一些我们注意到的常见错误,这些错误会导致电话盗打以及您可以采取哪些措施来避免这些错误。

什么是电话盗打

简而言之,当不信任方通过您的PBX拨打电话时会发生电话盗打,费用由您承担。通常这种情况会在一夜之间或办公室关闭时发生,并且电话会被批量放置到各个国际目的地。然后你会在月末得到一张大笔账单。

自PBX早期以来,免费国际通话一直是手机盗用者的目标。您可能会认为这已成为过去,通信成本急剧下降,但在现代VoIP电话时代,有组织犯罪的全球威胁已经发生,希望以工业方式获取巨额利润。

通常,黑客会破坏IP PBX服务器,以便建立对高级国际号码的呼叫。他的动机是间接的经济利益,因为他将以自动方式从他控制下的高级服务拨打数千个号码,以便获得每次通话或每次花在线路上的付费佣金。这也称为国际收益分享欺诈(IRSF)。另一种直接获利的常见方式是在暗网上简单转售被盗凭证,以便想要一条廉价路线拨打电话。

3CX电话系统具有许多内置的安全功能和默认设置,可防止此类滥用,但是,管理员有时会在不了解的情况下禁用安全设备导致不可避免的隐患。

我们将在下面详细介绍要避免的TOP 5常见错误。

一 弱凭证

第一个错误是使用弱凭据进行分机配置。

在电话系统中创建分机程序时,会生成所有级别的默认随机凭据,强SIP身份验证ID和密码,Web客户端的强密码,硬件Web界面,随机语音邮件PIN等。您应该坚持使用那些确保防止密码猜测攻击的随机值,也称为暴力攻击。

从v15.5开始,无法使用太短的凭据编辑和保存分机,但是,您可能从先前版本或备份继承了此类设置。

我们还确保通过在分机名旁边发出警告标志信号来警告管理员他们的凭据薄弱。如果您将鼠标悬停在扩展程序上,您将获得有关该问题的更多信息:

弱分机密码警告

顺便说一句,请永远不要设置临时的简单凭证进行测试,以为您将在以后进行生产时会更改它们,因为通常人们会忘记这些事情。

禁止使用外网分机

第二个最常见的错误是在不需要时在您的分机名下选择“禁止使用外网分机”选项。

此选项可防止在您的分机上进行远程SIP注册,并在创建分机时默认选中。 在这种情况下,您仍然可以使用远程3CX客户端或3CX Web客户端,而不会受到影响,因为客户端使用隧道协议连接到PBX。 实际上,只有在使用远程STUN硬电话时才应取消该选项。

三 允许的国家太多

首次安装PBX时,屏幕会提示允许拨入和拨出电话的国家地区选择。此列表稍后可在“安全/允许的国家/地区代码”中找到。

默认情况下,我们仅限于安装的国家/地区。

一个不好的做法当然是允许所有国家然后都认为自己会在之后调整,通常从不调整。

限制允许用户呼叫的国家/地区

美国客户注意事项:北美编号计划(NANP)允许拨打北美和加勒比地区的25个地区或国家/地区,无需拨打国际拨号代码。 国际拨号代码为011,如果是美国,则为+。 反黑客功能将允许这些数字作为本地号码(根据ITU标准)。 因此,您应该有严格的出站规则,其中包含要阻止和路由1的NANP前缀列表:阻止呼叫,并确保此规则位于第一位置。

四 懒惰的出站规则

另一个不好的做法是拥有“懒惰”的出站规则,让系统中任何人拨打的任何号码都可以通过。 典型规则是除DEFAULT分机组之外没有其他条件的规则。

您应该尽可能严格地设置规则,例如在防火墙中,定义特定的前缀或号码长度,以及允许拨出哪些分机或哪些分机组。

五 配置错误的E164设置

在设置/ E164下处理是标准设置,确保用本地国际拨号代码替换“+”。 引用是在安装时定义的国家/地区。 例如,在大多数国家/地区,您将获得“00”作为国际拨号代码,对于美国,您将获得“011”。 这些是符合国际电联标准的价值观。

此设置很重要,因为它还用于确定根据上面讨论的“允许的国家/地区代码”标签阻止的国家/地区代码列表。

例如,在“00”和阿尔巴尼亚被阻止的情况下,该功能将查找以00355xxx或+ 355xxx形式拨打的号码。

如果您错误配置了国际拨号代码,则可能导致错误的“+”更换,但安全性也会无法实现。

请注意,在观察到的大多数盗打案例中,往往是前5个错误的累积导致了泄密。 独自一个将通常不足以使攻击者获得成功。

在3CX V16版中,我们介绍了两个主要的安全功能,进一步改善了3CX的安全状态。 第一个允许您根据IP限制管理控制台访问,并且处于安全/安全设置/控制台限制中。 默认情况下,允许所有IP,如果启用,它将仅允许本地IP子网和指定的公共IP。 此选项不会干扰其他Web服务,例如配置,Web客户端等。

第二项重大改进是自动全局3CX IP黑名单,可在安全/安全设置/防黑客入侵中使用。 启用此功能后,您的PBX会将包括攻击者IP在内的任何黑名单事件报告给我们的中央服务器。 评估后,将添加重复出现的攻击者并将其分布到启用了此功能的所有3CX系统中,以便丢弃任何恶意流量。 到目前为止,这个全球黑名单已经有1000多个常见的IP和范围被报告为扫描或欺诈。 我们建议您启用此功能。