對所有的用戶而言,某個郵件看起來是合法的並且不存在釣魚攻擊的嫌疑,因為它沒有努力誘使用戶來點擊一個混淆後的超鏈接或者是訪問一個可疑的網站。然而,當撥打郵件中的電話時,下麵的語音會播放“歡迎進入帳號認證系統,請輸入你的16位卡號”。
該郵件實際上是一種惡意的攻擊方式,攻擊者建立了一個IVR系統(Interactive Voice Response,交互語音應答系統)來試圖收集受害者的帳號資訊。很大程度上可以懷疑郵件中的電話號碼是惡意人員偷用他人的身份(換句話說也就是盜用信用卡),從VoIP提供商那裏申請的。在VoIP的世界裏,建立一個假冒的應答系統是相當容易的,因為攻擊者申請的IVR的區號可以不受任何物理區域限制。正如在本文中後面看到的,線上購買一個800號碼,並路由所有的來話到一個VoIP系統是一件非常簡單的事。
前面提到的郵件事實上是第一批有記載的語音釣魚攻擊案例之一。語音釣魚需要攻擊者建立一個假冒的IVR系統(而不是建立一個假冒網站)來誘使受害者輸入敏感資訊,如帳號、密碼、社會保險號,或者是任何其他方式的個人身份認證的資訊。攻擊者記錄的DTMF資訊可以很容易地進行重放並隨後進行相關的解碼。
語音釣魚攻擊依賴的一個前提條件是受害者容易受欺騙,相比郵件鏈接而言,受害者更相信電話號碼。同樣,只需要很少的費用,攻擊者就可以通過VoIP 服務提供商建立一個IVR系統,相比被攻陷的網站而言,IVR更加難於追蹤。同時,VoIP的本質使得這種類型的攻擊更加易於實施,因為大多VoIP服務提供商允許其客戶通過包月話費進行無限制的呼叫。
不久後,防病毒軟體公司Sophos發現了另外的一種變種攻擊技術。這次郵件聲稱是來自PayPal,並且也誘使接收者撥打惡意IVR系統控制的電話號碼。
我們確確實實地見證了這種新興的威脅的發展歷程。在讀者看到這裏時,很有可能已經有了更多的攻擊變種和語音釣魚案例了。強調這樣一個觀點很重要,語音釣魚並不是VoIP才有的威脅,而是一種社交威脅的演化形式,這些社交威脅在通信歷史一直伴隨著我們,如大量的傳真、電話推銷、電話信任惡搞、郵件釣魚、IM垃圾資訊等。
語音釣魚攻擊剖析
實施語音釣魚攻擊比讀者想像的更加容易。Jay Schulman在2006年8月2日的拉斯維加斯的BlackHat大會上進行了一次令人震撼的VoIP釣魚演示。在會上,他進行了完全應用開源工具建立IVR系統而實施的VoIP釣魚攻擊的概念性演示。簡單地講,對其演示的攻擊而言,兩個主要的功能模組是:
一個入局的800 VoIP服務提供系統來接收來話。
一個PBX軟體及語音信箱系統。
通過VoIP服務提供商獲取800號碼
為了簽約一個800號碼,Schulman選擇了VoIP服務提供商sixTel,sixTel能夠提供800號碼。
在sixTel的管理介面中,有一個選項可以設置路由所有來話通過IAX到另一個Asterisk伺服器。
陷阱--建立惡意的IVR系統
Trixbox(起初被稱為家庭版Asterisk)可以被用來在一臺電腦上安裝PBX軟體和語音信箱系統。Trixbox是一個完備的ISO映像檔,包括了所有的需要的部件及一些其他附件:
◆Asterisk,PBX核心
◆Sugar,一個CRM系統
◆A2Billing,一個電話卡業務平臺
◆Flash操作控制板,一種基於螢幕的操作平臺
◆Web Meet Me控制器,一個電話會議控制應用
◆freePBX,一個基於Web的Asterisk指配工具
◆一個報表系統,freePBX的提供CDR報表功能 |
