28、电子服务网络中的业务风险分析与信任需求分析

电子服务网络中的业务风险分析与信任需求分析

1. 电子服务网络业务风险分析

1.1 电信盈利情况分析

在正常使用条件下，电信提供商的财务结果可通过相关盈利图呈现。用户有固定的订阅月成本，而提供商A的成本会随每次通话增加，因为要向提供商B支付互联终止奖金。运营成本因未知且对单个用户可忽略不计，暂未在模型中体现，但可轻松纳入。不理想的情况与正常情况有显著差异，不仅提供商明显亏损，欺诈者的财务动机也清晰可见。这些财务结果可用于讨论对未发生交易的检查，或根据盈亏平衡点推断阈值以降低风险。

1.2 e3fraud方法分析技术风险

在现实世界的安全风险评估中，识别出的风险列表往往过长，无法全部缓解，因此评估者需对风险进行优先级排序，仅缓解最重要的风险。重要性通常通过考虑潜在攻击对攻击者的吸引力以及攻击造成的损失来估计。e3fraud方法可通过基于变量范围促进对单个风险的影响和收益估计，来补充基础设施的风险评估。该方法以理想模型（攻击前）和不理想模型（攻击后）描述的技术风险为输入，生成显示与风险相关的财务损失/收益的图表。

1.3 PBX攻击场景描述

PBX是为私人组织服务的电话交换或交换系统，欺诈者可利用公司PBX的漏洞获取组织的一个或多个电话号码，用于个人欺诈目的。攻击PBX的方式有多种，最脆弱的是远程访问功能，欺诈者可通过此功能创建特殊邮箱，将其重定向到自己选择的电话号码，该号码可能是欺诈者所属犯罪组织的高价号码，或为每个来电提供收益分成的号码。另一种方式是获取公司内的电话并从那里拨打电话，比如通过敲诈或贿赂公司员工。在e3fraud中，我们不关注获取公司电话号码的技术或社会手段，而是专注于攻击者的商业模式。