數發部資安署6月資安月報顯示,有公務機關使用網路電話,發現電話節費盒密碼遭外部人士破解使用進行詐騙。資安署表示,由於撥打電話顯示為機關來電,嚴重影響聲譽,呼籲機關強化網路電話設備管理,這也是首次觀察到電信公司節費盒密碼遭盜用。
資安署6月資安月報顯示,發現有公務機關電話遭不明人士盜打進行詐騙的案件,調查網路電話撥打紀錄發現,有透過外部IP打電話,結果是機關使用的電信公司節費盒因為設定弱密碼遭到暴力破解。機關發現後立即變更設備的帳號密碼,評估後續使用效益與資安風險,決定停用。
所謂電信公司節費盒是透過網路打電話,不是透過傳統固網,可以降低通話費用。由於這類案件是外部駭入公務機關網路電話設備,導致對外撥出的電話,也會顯示為機關來電,讓接到電話的民眾可能誤以為是機關來電。
資安署向中央社說明,這是首次觀察到電信公司節費盒密碼遭破解而被盜用,有通報資安事件,公部門清查後發現沒有影響內部資通系統,但也已經停用。這類電話恐怕對機關聲譽產生嚴重影響,希望透過分享情資,強化國家整體資通安全防護能量。
資安署指出,網路電話設備如果沒有妥善設定帳號密碼、防火牆及監控機制,很容易成為詐騙集團攻擊漏洞,造成財務損失、影響政府信任度,提出3點建議。
第1,如果透過遠端存取方式管理資通設備,應是「原則禁止,例外允許」。假設機關因地理限制,提供高雄的人員可遠端存取台北的資通設備時,應該要經過審查才能開放遠端存取權限,開放期間應以短天期為限,針對異常連線行為要有管理機制。
第2,強制使用高強度密碼、定期更新並移除預設帳密。資安署指出,部分廠商把產品說明書公開在網路上,內容可能涉及預設密碼,如果後續使用者沒變更預設密碼,易遭有心人士盜用。
第3,評估設備是否支援定期軟體更新與資安修補,避免使用已停產或不受支援的設備。資安署說,設備出廠後有機會出現資安漏洞,因此需要更新軟體,若設備已停產或不再提供更新,就可能出現資安風險,建議納入管理流程,透過定期盤點,評估是否淘汰設備。
新聞
