Hệ thống điện thoại VoIP khác biệt so với hệ thống điện thoại truyền thống. Bởi bạn không cần phải có hệ thống dây điện đồng trải dài khắp văn phòng. Thay vào đó, các kết nối được thực hiện chủ yếu thông qua kết nối internet. Tuy nhiên, điều này thường gây ra lo ngại lớn về vấn đề bảo mật. Toàn bộ dữ liệu thường được lưu trữ dựa trên công nghệ điện toán đám mây. Việc đánh cắp thông tin từ hệ thống điện thoại VoIP không còn xa lạ như bạn nghĩ.
Hệ thống điện thoại VoIP gây khó khăn trong việc xác minh danh tính người gọi, đồng thời có thể dẫn đến các vi phạm dữ liệu mới. Do đó, các biện pháp bảo mật kỹ thuật xã hội đang trở nên phổ biến.
Nếu một kẻ tấn công sử dụng VoIP để thực hiện cuộc tấn công, họ có thể dễ dàng truy cập vào dữ liệu nhạy cảm của khách hàng.
Tóm Tắt Nội Dung
- Hack VoIP là gì?
- 05 kiểu hack VoIP
- Cách phòng chống
- 1. Chọn đúng nhà cung cấp VoIP
- 2. Kiểm soát quyền truy cập của quản trị viên
- 3. Sử dụng VPN để truy cập từ xa
- 4. Kiểm tra mạng của bạn
- 5. Kiểm tra nhật ký cuộc gọi
- 6. Xây dựng nhận thức về mật khẩu mạnh
- 7. Sử dụng xác thực mật khẩu hai yếu tố
- 8. Đào tạo nhóm của bạn về an ninh mạng
- 9. Chính sách quản lý thiết bị di động
- 10. Chuẩn bị sẵn kế hoạch ứng phó trong trường hợp vi phạm
Hack VoIP là gì?
Tấn công vào hệ thống VoIP là một loại hình tấn công mà kẻ tấn công sử dụng để xâm nhập vào hệ thống điện thoại của doanh nghiệp bạn. Họ có thể nghe lén các cuộc gọi, thực hiện các giao dịch thanh toán đắt đỏ và đánh cắp thông tin nhạy cảm – cả về doanh nghiệp và khách hàng của bạn.
Các cuộc tấn công thường xảy ra khi một nhân viên của bạn vô tình tiết lộ thông tin cho kẻ lừa đảo. Các kỹ thuật lừa đảo xã hội chiếm tỷ lệ lớn, khoảng 97%, trong số các cuộc tấn công bằng phần mềm độc hại. Tin tặc thường nhắm vào nhân viên trong bộ phận dịch vụ khách hàng và Trung tâm điều hành mạng (NOC), giả dạng nhân viên khác. Nhân viên có thể vô tình cung cấp quyền truy cập trái phép cho tin tặc, cho phép họ tiếp cận và kiểm soát hệ thống điện thoại VoIP của bạn.
Sau khi truy cập vào hệ thống điện thoại của doanh nghiệp bạn, kẻ tấn công có thể tiến hành các cuộc tấn công khác. Ví dụ, một vụ hack VoIP có thể dùng để truy cập thông tin thẻ tín dụng của bạn, giả mạo doanh nghiệp của bạn và lấy thông tin cá nhân của khách hàng.
Việc quan trọng là phải cập nhật về các phương thức tấn công vào hệ thống điện thoại của doanh nghiệp và xem xét các biện pháp mà bạn và nhà cung cấp của bạn có thể thực hiện để bảo vệ thông tin liên lạc.
05 kiểu hack VoIP
Việc hack vào hệ thống điện thoại VoIP có những rủi ro bảo mật mạng khác biệt so với các hệ thống điện thoại truyền thống do cách thiết lập đặc biệt của chúng. Dưới đây là năm loại hack VoIP phổ biến mà bạn cần lưu ý:
- Sử dụng trái phép: Loại tấn công này xảy ra khi tin tặc sử dụng hệ thống điện thoại của doanh nghiệp bạn để thực hiện cuộc gọi điện. Họ có thể sử dụng hệ thống của bạn để thực hiện cuộc gọi tự động hoặc quay số tự động. Người nghe có thể nhận được tin nhắn ghi âm trước đó yêu cầu họ thực hiện một hành động nào đó – ví dụ, nhập thông tin thẻ tín dụng để “xác nhận tài khoản”. Tuy nhiên, bạn không phải là người thực hiện cuộc gọi, và tin tặc có thể có quyền truy cập vào thông tin đó.
- Gian lận phí điện thoại: Gian lận phí điện thoại xảy ra khi tin tặc thực hiện cuộc gọi quốc tế từ hệ thống của bạn. Các cuộc gọi này có thể đắt đỏ và sẽ được tính từ tài khoản của bạn. Tin tặc có thể nhắm mục tiêu vào người dùng và quản trị viên bằng cách lừa đảo để có quyền truy cập trái phép vào hệ thống VoIP của bạn.
- Giả mạo ID người gọi: Tin tặc có thể sử dụng ID người gọi giả mạo và tận dụng chúng để phối hợp với các cuộc tấn công khác. Nhân viên có thể dễ dàng bị lừa bằng cách cung cấp thông tin quan trọng cho người tin tưởng vào số điện thoại hoặc tên người gọi.
- Nghe lén: Tin tặc có thể nghe lén các cuộc gọi điện thoại hoặc bản ghi âm của doanh nghiệp bạn như thư thoại. Điều này có thể xảy ra khi kết nối không được mã hóa hoặc mạng bị vi phạm.
- Tâm lý xã hội: Đây là một hình thức hack VoIP phổ biến vì nó tập trung vào con người thay vì công nghệ.Tin tặc cố gắng xây dựng mối quan hệ với nạn nhân để làm cho họ tin rằng cuộc gọi là chân thành, trong khi thực sự không phải như vậy. Họ sử dụng mánh khóe mạo danh người khác để lừa bạn cung cấp thông tin nhạy cảm.Kỹ thuật xã hội được tin tặc sử dụng vì nó tập trung vào nhu cầu cần thiết của con người muốn được tử tế. Thật khó chịu khi phải từ chối yêu cầu từ ai đó, đặc biệt là khi bạn không có lý do cụ thể để nghi ngờ họ.
Ngoài ra, nhận thức về các chiến dịch kỹ thuật xã hội thường thiếu. Hiếm khi nhân viên được giáo dục về nguy cơ của cuộc gọi điện thoại lừa đảo từ những kẻ tấn công mà mặt người gọi được giả mạo.
Các tin tặc săn lùng mọi người để thu thập thông tin về mục tiêu có thể được sử dụng sau này. Điều này có thể bao gồm các yêu cầu thông tin tài khoản sai lầm, như xác minh thông tin tài khoản của bạn, và thậm chí gây rối hoặc đe dọa nạn nhân dựa trên dữ liệu họ thu thập được.
Những tình huống đầy cảm xúc như vậy tạo áp lực buộc nhân viên phải hành động ngay lập tức, và việc bất tuân quy trình đúng đắn trở thành điều không nên thực hiện.
Cách phòng chống
1. Chọn đúng nhà cung cấp VoIP
Bắt đầu từ nhà cung cấp mà bạn chọn, hệ thống điện thoại an toàn đảm bảo sự yên tâm cho doanh nghiệp của bạn. Nhà cung cấp yếu có thể tạo điều kiện cho tin tặc xâm nhập vào mạng điện thoại của bạn một cách dễ dàng hơn, tiềm ẩn rủi ro tiềm ẩn cho thông tin cá nhân của bạn.
Vì vậy, trước khi ký hợp đồng với bất kỳ nhà cung cấp dịch vụ VoIP nào, quan trọng là kiểm tra chính sách bảo mật của họ. Bạn cần đảm bảo rằng:
- Họ cam kết về an ninh mạng và áp dụng các biện pháp phòng ngừa
- Có quy trình báo cáo lỗ hổng cụ thể
- Có kế hoạch hành động sẵn sàng xử lý khi xảy ra việc xâm nhập
- Có các chứng nhận và cập nhật liên quan đến bảo mật
- Tham gia vào các chương trình tiết lộ bảo mật có trách nhiệm
- Thực hiện các biện pháp bảo mật hiệu quả
Hãy dành thời gian để nghiên cứu và yêu cầu thông tin này từ nhà cung cấp của bạn. Họ sẽ cung cấp cho bạn những thông tin cần thiết để bạn có thể đánh giá và đảm bảo an toàn cho doanh nghiệp của mình. Nếu không, hãy xem xét việc chuyển sang nhà cung cấp VoIP khác để bảo vệ tốt hơn cho doanh nghiệp của bạn.
2. Kiểm soát quyền truy cập của quản trị viên
Quyền truy cập quản trị vào hạ tầng VoIP của bạn cho phép người dùng kiểm soát mọi khía cạnh của hệ thống điện thoại doanh nghiệp của bạn. Điều này bao gồm quản lý thanh toán, tham gia cuộc họp trực tuyến, thiết lập các đường dây mới và có thể dẫn đến các cuộc xâm nhập tốn kém hơn.
Cần phải cực kỳ cẩn thận khi ủy quyền quyền truy cập quản trị vào hệ thống điện thoại VoIP của bạn cho nhân viên. Việc cung cấp quyền truy cập này có thể tăng nguy cơ một cuộc tấn công lừa đảo qua mạng. Mọi người đều có thể phạm sai lầm, nhưng việc hạn chế quyền hạn của họ có thể giảm thiểu tác động của các hành động không cẩn thận. Đơn giản là, không nên giao quyền truy cập quản trị cho những người không cần và luôn tiến hành đánh giá về quyền truy cập của người dùng một cách đều đặn. Đặc biệt cần phải cảnh giác hơn khi có nhiều nhân viên tham gia vào hệ thống, bởi vì điều này tăng nguy cơ trở thành mục tiêu của các cuộc tấn công lừa đảo và mất an ninh mạng.
3. Sử dụng VPN để truy cập từ xa
Trong thời đại hiện nay, nhiều lãnh đạo doanh nghiệp đều thúc đẩy chính sách làm việc từ xa cho nhân viên của họ. Các nhân viên ở xa này thường liên lạc với đồng nghiệp và khách hàng thông qua điện thoại, điều này tạo điều kiện cho việc xảy ra các cuộc tấn công hack VoIP.
Tuy nhiên, việc sử dụng Mạng riêng ảo (VPN) có thể giúp bảo vệ các cuộc gọi điện thoại. Nhóm làm việc từ xa của bạn có thể cài đặt VPN trên các thiết bị làm việc của họ, bao gồm cả điện thoại thông minh hoặc ứng dụng điện thoại của họ.
VPN tạo ra một kết nối bảo mật giữa thiết bị của họ và hệ thống điện thoại của bạn, tương tự như khi họ ở trong văn phòng. Nhờ đó, họ có thể thực hiện cuộc gọi từ mạng an toàn của bạn, thay vì từ mạng gia đình có thể có nhiều lỗ hổng bảo mật.
Điều này làm cho các tin tặc gần như không thể nghe lén các cuộc gọi mà nhóm làm việc từ xa của bạn đang thực hiện.
4. Kiểm tra mạng của bạn
Không có gì lạ khi các doanh nghiệp nhỏ cài đặt hệ thống VoIP và sau đó không kiểm tra lại nó. Tuy nhiên, việc làm này có thể làm bạn dễ bị hack VoIP. Hệ thống bạn đang sử dụng có thể không còn đảm bảo an toàn như trước.
Việc kiểm tra mạng thường xuyên giúp bạn phát hiện lỗ hổng trong bảo mật VoIP của mình. Quản trị viên cần thường xuyên đánh giá quyền truy cập và các biện pháp thực hành tốt nhất để tránh bị xâm phạm.
Ví dụ, bạn có thể nhận ra rằng:
- Nhân viên đã rời công ty hai năm trước nhưng vẫn còn tài khoản.
- Mật khẩu quản trị viên của bạn chưa được thay đổi trong hai năm.
- Cổng kết nối không có Bảo mật lớp truyền tải (TLS) hoặc Giao thức truyền tải thời gian thực (SRTP), nghĩa là các cuộc gọi VoIP không được mã hóa.
Bộ phận CNTT của bạn cũng nên tiến hành kiểm tra bảo mật hàng năm. Quá trình “thử nghiệm thâm nhập” này mô phỏng một cuộc tấn công hacker và xác định xem mạng của bạn có an toàn hay không. Mọi lỗ hổng tiềm ẩn cần được xác định và khắc phục ngay lập tức.
5. Kiểm tra nhật ký cuộc gọi
Nhật ký cuộc gọi là bản ghi của các cuộc gọi đến và đi mà doanh nghiệp của bạn đã thực hiện. Tuy nhiên, nó không chỉ hữu ích cho mục đích bán hàng. Việc truy cập vào các nhật ký cuộc gọi này giúp bạn có thể xem:
- Ngày và giờ của từng cuộc gọi.
- Số lượng cuộc gọi đến một số cụ thể mà bạn đã thực hiện.
- Vị trí của cuộc gọi, cả từ phía doanh nghiệp và vị trí của khách hàng.
Bạn có thể dễ dàng kiểm tra xem hệ thống điện thoại VoIP của mình có bị hack hay không thông qua các nhật ký này. Theo dõi thường xuyên các nhật ký cuộc gọi sẽ giúp bạn hiểu rõ hơn về “hành vi bình thường”. Mọi sự bất thường có thể là dấu hiệu của một cuộc tấn công và có thể được phát hiện ngay lập tức, thậm chí trước khi hạn chế cuộc gọi của bạn ngăn chặn chúng.
Tương tự, nhật ký truy cập hiển thị thông tin về ai đã đăng nhập vào hệ thống điện thoại VoIP của bạn. Nếu bạn phát hiện một địa chỉ IP lạ hoặc thấy quản trị viên của bạn đăng nhập vào vào lúc 11 giờ tối (khi họ thường ngủ), đó có thể là dấu hiệu của một cuộc xâm nhập.
6. Xây dựng nhận thức về mật khẩu mạnh
Khi bạn cài đặt giải pháp VoIP, nhà cung cấp sẽ cung cấp mật khẩu mặc định để giúp bạn khởi đầu. Tuy nhiên, việc quan trọng là phải thay đổi mật khẩu từ cài đặt mặc định ngay lập tức.
Tuy nhiên, việc đó không luôn đảm bảo an toàn cho hệ thống điện thoại VoIP của bạn. Bạn cần phải xây dựng nhận thức về mật khẩu mạnh với nhân viên của mình. Tránh sử dụng các mật khẩu phổ biến và tránh việc lặp lại các kết hợp mật khẩu giống nhau.
Việc sử dụng các mật khẩu lặp lại, được gọi là tái sử dụng thông tin xác thực, có nghĩa là nếu tin tặc có thể bẻ khóa một nền tảng, họ có thể truy cập vào các nền tảng khác. Ví dụ, nếu họ có thể lấy được mật khẩu Facebook của một nhân viên dịch vụ khách hàng, họ có thể thử sử dụng cùng mật khẩu đó trên hệ thống điện thoại VoIP của bạn. Mật khẩu cho mỗi tài khoản VoIP nên là duy nhất hoàn toàn.
Hãy nhắm đến việc sử dụng mật khẩu dài hơn thay vì mật khẩu chứa các ký tự đặc biệt để đáp ứng yêu cầu về số ký tự tối thiểu.
Mật khẩu phức tạp, với sự kết hợp của chữ in hoa, ký tự đặc biệt và dấu chấm than, thường khó nhớ. Nhân viên có thể viết chúng xuống hoặc lưu trữ trong email, điều này có thể là nguy cơ cho việc tiết lộ mật khẩu cho tin tặc.
Tuy nhiên, theo các chuyên gia bảo mật, bạn nên tạo mật khẩu dài. Việc bẻ khóa một mật khẩu 20 ký tự sẽ khó hơn và mất thời gian hơn so với mật khẩu chỉ có 8 ký tự. Và nó cũng dễ nhớ hơn.
Bằng cách này, bạn làm cho việc truy cập vào hệ thống VoIP của mình trở nên khó khăn hơn đối với tin tặc. Mật khẩu mặc định không an toàn không nên được chấp nhận và để lại cho hacker tìm cách xâm nhập.
7. Sử dụng xác thực mật khẩu hai yếu tố
Hiện nay, mật khẩu mạnh không còn đủ để ngăn chặn tin tặc. Các tin tặc thông minh và có kinh nghiệm không thể dễ dàng bẻ khóa mật khẩu, vì vậy bạn cần có hệ thống xác thực hai yếu tố cho hệ thống điện thoại VoIP của mình.
Xác thực hai yếu tố sẽ thêm một lớp bảo mật bổ sung lên trên mật khẩu của bạn. Người dùng cần phải xác thực thông tin đăng nhập của họ bằng cách:
- Nhập mật khẩu của mình.
- Quét mã QR bằng ứng dụng xác thực.
- Sử dụng dấu vân tay của họ.
Với một trong những tính năng xác thực này, tin tặc sẽ không thể truy cập vào giải pháp VoIP của bạn — ngay cả khi chúng có mật khẩu của bạn. Chỉ có những người có thông tin xác thực bước thứ hai chính xác mới có thể đăng nhập được.
8. Đào tạo nhóm của bạn về an ninh mạng
Chỉ cần một lỗ hổng bảo mật trong hệ thống điện thoại của bạn cũng đủ để khiến bạn trở thành mục tiêu của hack VoIP. Tương tự, nguy cơ cũng áp dụng cho nhân viên của bạn: một nhân viên không được đào tạo đúng cách có thể vô tình tạo ra các lỗ hổng, dẫn đến việc thông tin quan trọng trong hệ thống điện thoại doanh nghiệp của bạn bị rò rỉ.
Khi đào tạo nhân viên, hãy cung cấp cho họ ít kiến thức cơ bản về an ninh mạng. Giải thích về tầm quan trọng của việc sử dụng mật khẩu mạnh, hướng dẫn cách cài đặt VPN trên thiết bị của họ và phân tích các loại hack VoIP khác nhau.
Tuy nhiên, đừng quên rằng bảo mật là một quá trình liên tục, không phải chỉ là một công việc một lần. Hãy lên kế hoạch cho việc đào tạo về an ninh mạng cho các thành viên trong nhóm của bạn một cách thường xuyên để đảm bảo rằng họ không bị tồn đọng.
9. Chính sách quản lý thiết bị di động
Bạn có biết rằng 59% chuyên gia kinh doanh sử dụng ít nhất ba thiết bị khi làm việc không? Nhân viên của bạn có thể mang theo thiết bị cá nhân hoặc máy tính xách tay khác đến văn phòng. Mỗi thiết bị này cần phải được bảo vệ với mức độ tối đa.
Đảm bảo thiết bị cá nhân của nhân viên không tạo ra lỗ hổng trong hệ thống điện thoại của bạn—đặc biệt là khi họ sử dụng chúng để thực hiện cuộc gọi VoIP cho doanh nghiệp. Bạn có thể thực hiện điều này thông qua chính sách quản lý thiết bị di động với các yêu cầu như:
- Tất cả các thiết bị cá nhân phải kết nối với mạng Wi-Fi để cuộc trò chuyện thoại được mã hóa.
- Phần mềm trên thiết bị di động phải được cập nhật nếu sử dụng cho mục đích kinh doanh.
- Tất cả điện thoại thông minh phải có tính năng nhận dạng vân tay để mở khóa thiết bị.
- Nhân viên phải báo cáo ngay lập tức mọi thiết bị bị đánh cắp hoặc mất.
10. Chuẩn bị sẵn kế hoạch ứng phó trong trường hợp vi phạm
Kẻ tấn công ngày càng thông minh hơn và có quyền truy cập vào các công cụ ngày càng mạnh mẽ để xâm nhập vào hệ thống điện thoại doanh nghiệp của bạn. Đôi khi, các biện pháp bảo mật nội bộ của bạn không đủ mạnh để ngăn chặn chúng.
Bạn cần luôn có một kế hoạch ứng phó với vi phạm dữ liệu, bất kể các biện pháp bảo mật của bạn mạnh đến đâu. Tài liệu này sẽ phác thảo những gì bạn sẽ thực hiện trong trường hợp bị tấn công. Điều này giúp bạn tránh được việc phải reo rắc không biết phải làm gì, từ đó giảm bớt căng thẳng cho toàn bộ quá trình xâm nhập.
Một kế hoạch chuẩn bị cho thảm họa cũng sẽ hữu ích. Nghiên cứu cho thấy 40% doanh nghiệp nhỏ không thể tái khởi động sau một thảm họa lớn. Tuy nhiên, việc thực hiện các bước để phác thảo những gì bạn sẽ thực hiện giúp giảm thiểu nguy cơ xảy ra sự cố sau khi xảy ra vi phạm dữ liệu.
