Здравствуйте, уважаемые подписчики Хабра и пользователи 3CX!
Мы подготовили цикл статей о различных рисках безопасности и неверных действиях, которые могут привести ко вторжению в вашу систему телефонии, в частности, 3CX. Надеемся, эта информация поможет, особенно начинающим системным администраторам, не подставить компанию телефонным мошенникам. Не менее важна и защита конфиденциальных данных, например, записей разговоров.
В первой статье мы расскажем о целях мошенников и ошибках настройки, которыми они пользуются. А во второй - расскажем о лучших практиках обеспечения безопасности 3CX.
Для чего им вас ломать?
Как выглядит телефонное мошенничество (фрод)? После того, как мошенники получили доступ к аккаунту (добавочному номеру 3CX) или SIP-устройству (телефону, шлюзу), они обычно ждут наступления ночи или выходных. Когда в офисе никого нет, они пробуют звонить на различные международные направления. Когда обнаружено открытое направление, они делают на него огромное количество звонков. На номерах, куда делаются вызовы, работают бессмысленные премиальные сервисы. Звонки попадает на IVR с каким-то записанным сообщением и удерживаются на нем максимально долго. И хакеры на этом зарабатывают! Они создают эти IVR у провайдеров и получают комиссию за каждый соединенный вызов или за минуту "разговора". Ваш локальный оператор связи автоматически оплачивает указанную сумму провайдеру премиум-сервиса. В свою очередь, провайдер выплачивает комиссию владельцу сервиса - хакеру. А в конце месяца, ваш оператор выставляет вам огромный счет за премиум-звонки – когда уже слишком поздно что-то предпринять! Этот тип мошенничества называется International Revenue Share Fraud (IRSF) и используется в телекоме последние 30 лет. Но с распространением VoIP и автоматизации, мошенничество вышло на индустриальный уровень. Убытки от него исчисляются миллиардами. Ассоциация Communications Fraud Control Association (CFCA) называет его самым популярным типом телефонного мошенничества с оборотом в 5.04$ миллиарда в 2019 г. (опрос Fraud Loss Survey). Короче говоря, если ваша система стала жертвой фрода, ожидайте огромный счет - тысячи а то и десятки, сотни тысяч.
Технологии злоумышленников
"Начинающие" хакеры используют несложную технологию brute-force атак (методом перебора учетных данных). Любая АТС, установленная в облаке, является потенциальной целью такой атаки. Однако 3CX использует собственный механизм безопасности, который сразу блокирует подозрительный IP-адрес. Но сейчас появился целый арсенал технологий сокрытия источника атаки для "продвинутых":
Сервисы анонимизации - VPN, различные proxy и TOR - позволяют скрывать учетные данные и серверы злоумышленников.
Скомпрометированные компьютеры - превращаются в "зомби" в распределенном управляемом ботнете.
Легитимные VoIP-провайдеры и устройства, которые были захвачены - и теперь используются для атак на вашу систему от своего имени (часто с разрешенных IP-адресов).
Комбинация всего вышеперечисленного и еще чего-то нового, появляющегося каждый день.
Хорошая новость в том, что сейчас мы стараемся обеспечить максимальную безопасность сразу после установки 3CX! Рассмотрим различные ошибки и неверные решения, которые могут стоить вам очень дорого.
Слишком простые пароли
Слабые учетные данные на любом уровне подвергают вашу систему риску:
Доступ злоумышленников к интерфейсу управления 3CX или пользовательскому интерфейсу – веб-клиенту.
Захват номера пользователя для неавторизованных звонков за счет компании.
Утечка различной конфиденциальной информации, например, записей разговоров.
Действия злоумышленника от имени легального пользователя.
После новой установки системы 3CX мы гарантируем, что все созданные учетные данные имеют достаточную надежность:
Учетные данные SIP пользователя.
Пароли на вход в веб-клиент.
Пароли на интерфейс IP-телефонов.
Данные доступа к шлюзам и факс-аппаратам.
Пароль к туннелю 3CX.
PIN-коды голосовой почты и конференций.
Не меняйте эти пароли для какого-то тестирования или упрощения работы! Когда вы ставите простой пароль, система становится уязвима для атак brute-force. Поэтому мы не рекомендуем менять эти пароли без крайней необходимости. Если вам все-таки нужно изменить пароль, вы можете его перегенерировать - сложный пароль будет заменен таким же сложным. Для перегенерации перейдите раздел "Пользователи", выберите одного или нескольких пользователей и нажмите "Пересоздать".
Игнорирование предупреждений
Иногда в интерфейсе управления 3CX появляются важные предупреждения, сигнализирующие о проблемах с учетными данными. Вы увидите подробную информацию о проблеме и подсказку для администратора, например:
Слабый пароль на вход в веб-клиент.
Слабый логин SIP аутентификации.
Слабый пароль SIP аутентификации.
Слабый пароль на веб-интерфейс телефона.
В некоторых случаях требуется требуется немедленное действие. Например, если пользователь не только имеет слабый логин и пароль SIP, но еще и отключенную опцию "Запретить подключение из публичной сети":
Это самый опасный случай, так как открывает учетную запись SIP для внешнего сканирования и атак brute-force. По умолчанию все пользователи создаются с включенной опцией "Запретить подключение из публичной сети", которая блокирует весь внешний трафик на добавочный номер. Ее следует отключать только если вы подключаете удаленный SIP-телефон "напрямую" по технологии STUN. Но если вы используете фирменные клиенты 3CX – ее отключать не нужно, т.к. там используется собственный безопасный протокол.
Непродуманные исходящие правила
Обратите внимание на слишком "демократичные" исходящие правила 3CX. Лучше всего иметь отдельные правила для международных и локальных номеров, причем международные направления должны быть максимально ограничены. Интернациональный номер, в соответствии со стандартом ITU, начинается с префикса + или 00. Поэтому следует создать исходящее правило именно с вашим международным префиксом "00,+" и тщательно продумать, какие пользователи / группы должны его использовать. Их нужно явно перечислить в правиле через тире или запятую. А локальные номера в большинстве стран начинаются с префикса 0 либо имеют фиксированную длину. Эти параметры также можно использовать в исходящих правилах.
Открытые международные направления
Теперь обратим внимание на список разрешенных международных направлений в разделе "Безопасность > Международные направления". Никогда не разрешайте сразу все направления! Лучше, наоборот, все отключить и постепенно включать только то, что необходимо. По умолчанию для вызовов разрешена только та страна, которая была указана при установке сервера 3CX. Это позволяет максимально обезопасить систему прямо из коробки. При звонке на международный номер система проверяет как наличие соответствующего исходящего правила, так и список разрешенных направлений, и только после этого пропускает вызов. Однако будьте осторожны с международными номерами, которые набираются в нестандартном формате. Некоторые операторы пропускают такие номера без международного префикса. Например, номер 33123456789 у некоторых провайдеров без проблем дозвонится до Франции. Если ваш оператор пропускает такие номера, учитывайте это в исходящих правилах.
Интересная статистика
В завершении первой части обзора поделимся актуальной статистикой вторжений, чтобы вы понимали серьезность ситуации. Наш отдел безопасности изучил 225 успешных атак на 3CX за последние 4 года. С одной стороны, вроде бы немало, но давайте учитывать общее количество установленных систем. В данный момент в мире работает примерно 600,000 систем. 255 (взломов) /600,000 (установок) *100 = 0.04 % систем взломано. Иными словами, пострадала всего 1 система из 2400. То есть, 99.96% наших систем взломать не удалось – и это совсем неплохо!
Успешные взломы в разных странах
США (21%)
Великобритания (15%)
Франция (13%)
Германия (8%)
Бельгия (5%)
Общее количество взломов, зафиксированных в течение года
Как видите, взломы телефонии, к сожалению, – растущий тренд. Особенно их было много в 2021 году. Возможно, это связано с распространением удаленной работы.
Куда обращаться за помощью
Если вы стали жертвой телефонного фрода или взлома АТС, либо вас беспокоят вопросы безопасности, откройте тикет в нашей хелпдеск-системе в разделе Fraud. Если у вас есть подозрение в утечке конфиденциальных данных, напишите нам на dpo@3cx.com.
