close
隨著網路電話VoIP技術大行其道,人氣日益高漲,不可避免吸引不肖分子的覬覦—垃圾郵件發送者與網路詐騙集團都在尋找他們下一個目標。以下介紹一些常見的VoIP技術的濫用行為,以及正確的防禦之道。這些行為包括VoIP的垃圾郵件、假冒來電ID等。
IP語音傳輸(VoIP)技術為企業與個人提供許多傳統電話服務與IP通訊都無法享有的各種優點。然而,就如同其他技術,它同時也有被濫用的潛在風險。隨著越來越多人使用VoIP技術,我們可預期濫用的情況也會愈來愈常見。
一個逐漸受到重視的議題是,IP語音系統可能遭受到許多不請自來的VoIP廣告訊息--通常被通之為SPIT(Spam over Internet Telephony)--所苦,就像垃圾電子郵件信滿為患一樣。這幾年,垃圾郵件讓電子郵件服務效能大幅下降──成千上萬不請自來的郵件訊息塞滿了伺服器跟使用者信箱,甚至迫使許多使用者避之唯恐不及。
雖然SPIT目前尚未形成嚴重問題,但隨著VoIP使用人數的大量增加,恐怕樹大招風,專家預期將來這類問題未來將會變得十分嚴重。以下就讓我們來看看VoIP技術被利用的可能性,以及確實的防範之道。
SPIT運作原理
長久以來,我們就一直在和那些煩人的電話推銷員周旋,SPIT又有什麼不同?差別在於:VoIP不只是電話號碼,也是IP位址。
傳統電話推銷公司所使用的自動撥號器必須要個別撥打每組電話號碼。但VoIP垃圾郵件效率遠遠超過自動撥號:他們可以先弄來一大堆IP位址,錄好一段廣告訊息,然後一次將VoIP語音訊息送到成千上萬的語音信箱中──就像傳送垃圾郵件一樣。
同時,要追蹤VoIP電話的來源也遠比追蹤大眾電話網路電話的來源來得困難,所以垃圾訊息的發送者更難抓到。此外,VoIP垃圾郵件發送者可以在世界的任何角落,用比傳統電話更便宜的價格撥號。
傳統電話也不安全?
發送垃圾郵件的人同時也可撥打公眾電話網路上(PSTN)電話,因此不只是VoIP使用者,所有電話用戶都無法倖免於難。事實上,VoIP使用者可能會比PSTN電話用戶更懂得保護自己,因為VoIP服務一般還包括免費的語音信箱、來電ID顯示以及其他在 PSTN網路上得另外花錢購買的服務。
對接聽VoIP與PSTN電話的使用者而言,SPIT危險之一是語音信箱可能被塞爆。要是語音信箱被塞滿,真正要留言的人就無法留言,也就造成語音郵件的阻斷服務(DoS)。語音郵件要佔用大量儲存空間遠比電子郵件容易,要佔滿儲存空間、讓系統掛點速度也更快。
語音垃圾郵件(SPIT)橫跨在傳統PSTN及IP網路上的特性,使得傳統電話用戶也可能受害。更厲害的是,它不只可以留言,還可以撥打真正的電話。由於要追蹤發話者很困難,打電話成本又很低,VoIP極可能淪為網路詐騙集團的工具。比起網釣郵件,許多人更被自稱是銀行或信用卡公司的人打來的電話所騙,因此這也是VoIP技術另一個被不當使用的地方。
當然使用者也可以利用許多已經內建於VoIP服務的功能來控制垃圾訊息與網路詐騙。像是拒接任何沒有來電號碼的電話或郵件。
糟的是,來電訊息可能被假冒,使訊息看起來是從別的地方所發出。事實上,假造來電資訊是垃圾郵件發送者與網路詐騙集團可能使用的另一個手法。
假冒來電ID運作原理
假冒(spoofing)來電ID資訊已經行之有年,假冒VoIP的來電資訊又更簡單,成本也更低。甚至不需要傳統電話線就可以完成。
許多網站提供假來電ID的服務。不只一家公司提供10美元的「網路電話卡」,先撥打免費電話,再輸入要打的號碼,然後再輸入你要顯示的電話號碼,就可以撥號了。另外,網路上也可以下載得到教學文件,教Linux電腦使用者利用Asterisk PBX軟體的來假冒來電ID。
假冒來電ID是相當令人頭痛的問題,因為許多信用卡公司與銀行都要靠來電ID來對顧客身份進行認證。網路的不肖分子可以利用這個技術偽造身份。另外,因為一些系統服務供應商讓使用者撥打電話來存取語音信箱留言,未經授權的人假冒來電ID就可以來聽取別人的語音留言。
如何防範
好消息是,VoIP垃圾郵件就像垃圾郵件一樣,具有特定特徵,系統可加以辨認、分析與過濾。此類技術也能阻擋來自特定號碼與IP位址的VoIP電話。
一旦SPIT有朝一日真的成為問題,軟體公司將競相提供各種解決方案,就像對付垃圾郵件一樣。事實上,已經有一些公司開始著手處理這個問題。
Qovia是一家提供企業級VoIP管理工具程式的公司,它在2004年申請一項辨認與阻擋VoIP垃圾訊息技術的專利。而像BorderWare之類的公司,也提供能感知SIP的proxy與防火牆軟體,可保護VoIP通話免受SPIT、假冒來電與其他VoIP攻擊。
結語
VoIP可以幫企業節省成本,使打電話更方便,然而和其他技術一樣,一定會遭到濫用與誤用。壞消息是,不止VoIP用戶會成為VoIP濫用的受害者。但好消息是,仍然有方法可以防範VoIP垃圾郵件、假造來電ID與其他VoIP濫用行為。
Deb Shinder兼具技術顧問、訓練人員身份,並曾出版許多電腦作業系統、網路與安全相關書籍。她目前致力於研究微軟產品及安全問題,並曾獲得微軟視窗伺服器安全性類別最有價值專業人員(MVP)殊榮。
Deb Shinder/郭文興譯 2006/12/22
IP語音傳輸(VoIP)技術為企業與個人提供許多傳統電話服務與IP通訊都無法享有的各種優點。然而,就如同其他技術,它同時也有被濫用的潛在風險。隨著越來越多人使用VoIP技術,我們可預期濫用的情況也會愈來愈常見。
一個逐漸受到重視的議題是,IP語音系統可能遭受到許多不請自來的VoIP廣告訊息--通常被通之為SPIT(Spam over Internet Telephony)--所苦,就像垃圾電子郵件信滿為患一樣。這幾年,垃圾郵件讓電子郵件服務效能大幅下降──成千上萬不請自來的郵件訊息塞滿了伺服器跟使用者信箱,甚至迫使許多使用者避之唯恐不及。
雖然SPIT目前尚未形成嚴重問題,但隨著VoIP使用人數的大量增加,恐怕樹大招風,專家預期將來這類問題未來將會變得十分嚴重。以下就讓我們來看看VoIP技術被利用的可能性,以及確實的防範之道。
SPIT運作原理
長久以來,我們就一直在和那些煩人的電話推銷員周旋,SPIT又有什麼不同?差別在於:VoIP不只是電話號碼,也是IP位址。
傳統電話推銷公司所使用的自動撥號器必須要個別撥打每組電話號碼。但VoIP垃圾郵件效率遠遠超過自動撥號:他們可以先弄來一大堆IP位址,錄好一段廣告訊息,然後一次將VoIP語音訊息送到成千上萬的語音信箱中──就像傳送垃圾郵件一樣。
同時,要追蹤VoIP電話的來源也遠比追蹤大眾電話網路電話的來源來得困難,所以垃圾訊息的發送者更難抓到。此外,VoIP垃圾郵件發送者可以在世界的任何角落,用比傳統電話更便宜的價格撥號。
傳統電話也不安全?
發送垃圾郵件的人同時也可撥打公眾電話網路上(PSTN)電話,因此不只是VoIP使用者,所有電話用戶都無法倖免於難。事實上,VoIP使用者可能會比PSTN電話用戶更懂得保護自己,因為VoIP服務一般還包括免費的語音信箱、來電ID顯示以及其他在 PSTN網路上得另外花錢購買的服務。
對接聽VoIP與PSTN電話的使用者而言,SPIT危險之一是語音信箱可能被塞爆。要是語音信箱被塞滿,真正要留言的人就無法留言,也就造成語音郵件的阻斷服務(DoS)。語音郵件要佔用大量儲存空間遠比電子郵件容易,要佔滿儲存空間、讓系統掛點速度也更快。
語音垃圾郵件(SPIT)橫跨在傳統PSTN及IP網路上的特性,使得傳統電話用戶也可能受害。更厲害的是,它不只可以留言,還可以撥打真正的電話。由於要追蹤發話者很困難,打電話成本又很低,VoIP極可能淪為網路詐騙集團的工具。比起網釣郵件,許多人更被自稱是銀行或信用卡公司的人打來的電話所騙,因此這也是VoIP技術另一個被不當使用的地方。
當然使用者也可以利用許多已經內建於VoIP服務的功能來控制垃圾訊息與網路詐騙。像是拒接任何沒有來電號碼的電話或郵件。
糟的是,來電訊息可能被假冒,使訊息看起來是從別的地方所發出。事實上,假造來電資訊是垃圾郵件發送者與網路詐騙集團可能使用的另一個手法。
假冒來電ID運作原理
假冒(spoofing)來電ID資訊已經行之有年,假冒VoIP的來電資訊又更簡單,成本也更低。甚至不需要傳統電話線就可以完成。
許多網站提供假來電ID的服務。不只一家公司提供10美元的「網路電話卡」,先撥打免費電話,再輸入要打的號碼,然後再輸入你要顯示的電話號碼,就可以撥號了。另外,網路上也可以下載得到教學文件,教Linux電腦使用者利用Asterisk PBX軟體的來假冒來電ID。
假冒來電ID是相當令人頭痛的問題,因為許多信用卡公司與銀行都要靠來電ID來對顧客身份進行認證。網路的不肖分子可以利用這個技術偽造身份。另外,因為一些系統服務供應商讓使用者撥打電話來存取語音信箱留言,未經授權的人假冒來電ID就可以來聽取別人的語音留言。
如何防範
好消息是,VoIP垃圾郵件就像垃圾郵件一樣,具有特定特徵,系統可加以辨認、分析與過濾。此類技術也能阻擋來自特定號碼與IP位址的VoIP電話。
一旦SPIT有朝一日真的成為問題,軟體公司將競相提供各種解決方案,就像對付垃圾郵件一樣。事實上,已經有一些公司開始著手處理這個問題。
Qovia是一家提供企業級VoIP管理工具程式的公司,它在2004年申請一項辨認與阻擋VoIP垃圾訊息技術的專利。而像BorderWare之類的公司,也提供能感知SIP的proxy與防火牆軟體,可保護VoIP通話免受SPIT、假冒來電與其他VoIP攻擊。
結語
VoIP可以幫企業節省成本,使打電話更方便,然而和其他技術一樣,一定會遭到濫用與誤用。壞消息是,不止VoIP用戶會成為VoIP濫用的受害者。但好消息是,仍然有方法可以防範VoIP垃圾郵件、假造來電ID與其他VoIP濫用行為。
Deb Shinder兼具技術顧問、訓練人員身份,並曾出版許多電腦作業系統、網路與安全相關書籍。她目前致力於研究微軟產品及安全問題,並曾獲得微軟視窗伺服器安全性類別最有價值專業人員(MVP)殊榮。
Deb Shinder/郭文興譯 2006/12/22
全站熱搜
留言列表
認識 馬堤 (3)