VoIP成为网络诈骗新欢？安全专家教你防御之道

　　随着网络电话VoIP技术大行其道，人气日益高涨，不可避免吸引不肖分子的觊觎—垃圾邮件发送者与网络诈骗集团都在寻找他们下一个目标。

　　以下介绍一些常见的VoIP技术的滥用行为，以及正确的防御之道。这些行为包括VoIP的垃圾邮件、假冒来电ID等。

　　IP语音传输(VoIP)技术为企业与个人提供许多传统电话服务与IP通讯都无法享有的各种优点。然而，就如同其它技术，它同时也有被滥用的潜在风险。

　　随着越来越多人使用VoIP技术，我们可预期滥用的情况也会愈来愈常见。

　　一个逐渐受到重视的议题是，IP语音系统可能遭受到许多不请自来的VoIP广告信息--通常被通之为SPIT(Spam over Internet Telephony)--所苦，就像垃圾电子邮件信满为患一样。这几年，垃圾邮件让电子邮件服务效能大幅下降──成千上万不请自来的邮件信息塞满了服务器跟使用者信箱，甚至迫使许多使用者避之唯恐不及。

　　虽然SPIT目前尚未形成严重问题，但随着VoIP使用人数的大量增加，恐怕树大招风，专家预期将来这类问题未来将会变得十分严重。以下就让我们来看看VoIP技术被利用的可能性，以及确实的防范之道。

　　SPIT运作原理

　　长久以来，我们就一直在和那些烦人的电话推销员周旋，SPIT又有什么不同?差别在于：VoIP不只是电话号码，也是IP地址。

　　传统电话推销公司所使用的自动拨号器必须要个别拨打每组电话号码。但VoIP垃圾邮件效率远远超过自动拨号：他们可以先弄来一大堆IP地址，录好一段广告信息，然后一次将VoIP语音讯息送到成千上万的语音信箱中──就像传送垃圾邮件一样。

　　同时，要追踪VoIP电话的来源也远比追踪大众电话网络电话的来源来得困难，所以垃圾信息的发送者更难抓到。此外，VoIP垃圾邮件发送者可以在世界的任何角落，用比传统电话更便宜的价格拨号。

　　传统电话也不安全?

　　发送垃圾邮件的人同时也可拨打公众电话网络上(PSTN)电话，因此不只是VoIP使用者，所有电话用户都无法幸免于难。事实上，VoIP使用者可能会比PSTN电话用户更懂得保护自己，因为VoIP服务一般还包括免费的语音信箱、来电ID显示以及其它在PSTN网络上得另外花钱购买的服务。

　　对接听VoIP与PSTN电话的使用者而言，SPIT危险之一是语音信箱可能被塞爆。要是语音信箱被塞满，真正要留言的人就无法留言，也就造成语音邮件的阻断服务(DoS)。语音邮件要占用大量存储空间远比电子邮件容易，要占满存储空间、让系统挂点速度也更快。(明天待续)

　　语音垃圾邮件(SPIT)横跨在传统PSTN及IP网络上的特性，使得传统电话用户也可能受害。更厉害的是，它不只可以留言，还可以拨打真正的电话。由于要追踪发话者很困难，打电话成本又很低，VoIP极可能沦为网络诈骗集团的工具。比起网钓邮件，许多人更被自称是银行或信用卡公司的人打来的电话所骗，因此这也是VoIP技术另一个被不当使用的地方。

　　当然使用者也可以利用许多已经内建于VoIP服务的功能来控制垃圾信息与网络诈骗。像是拒接任何没有来电号码的电话或邮件。

　　糟的是，来电信息可能被假冒，使信息看起来是从别的地方所发出。事实上，假造来电信息是垃圾邮件发送者与网络诈骗集团可能使用的另一个手法。

　　假冒来电ID运作原理

　　假冒(spoofing)来电ID信息已经行之有年，假冒VoIP的来电信息又更简单，成本也更低。甚至不需要传统电话线就可以完成。

　　许多网站提供假来电ID的服务。不只一家公司提供10美元的“网络电话卡”，先拨打免费电话，再输入要打的号码，然后再输入你要显示的电话号码，就可以拨号了。另外，网络上也可以下载得到教学文件，教Linux计算机使用者利用Asterisk PBX软件的来假冒来电ID。

　　假冒来电ID是相当令人头痛的问题，因为许多信用卡公司与银行都要靠来电ID来对顾客身份进行认证。网络的不肖分子可以利用这个技术伪造身份。另外，因为一些系统服务供货商让使用者拨打电话来存取语音信箱留言，未经授权的人假冒来电ID就可以来听取别人的语音留言。

　　如何防范

　　好消息是，VoIP垃圾邮件就像垃圾邮件一样，具有特定特征，系统可加以辨认、分析与过滤。此类技术也能阻挡来自特定号码与IP地址的VoIP电话。

　　一旦SPIT有朝一日真的成为问题，软件公司将竞相提供各种解决方案，就像对付垃圾邮件一样。事实上，已经有一些公司开始着手处理这个问题。

　　Qovia是一家提供企业级VoIP管理工具程序的公司，它在2004年申请一项辨认与阻挡VoIP垃圾信息技术的专利。而像BorderWare之类的公司，也提供能感知SIP的proxy与防火墙软件，可保护VoIP通话免受SPIT、假冒来电与其它VoIP攻击。

　　结语

　　VoIP可以帮企业节省成本，使打电话更方便，然而和其它技术一样，一定会遭到滥用与误用。坏消息是，不止VoIP用户会成为VoIP滥用的受害者。但好消息是，仍然有方法可以防范VoIP垃圾邮件、假造来电ID与其它VoIP滥用行为。