对所有的用户而言,这个邮件看起来是合法的并且不存在钓鱼攻击的嫌疑,因为它没有努力诱使用户来点击一个混淆后的超链接或者是访问一个可疑的网站。然而,当拨打邮件中的电话时,下面的语音会播放"欢迎进入账号认证系统,请输入你的16位卡号",可以在网站http://www.websense.com/securitylabs/images/alerts/june_vishing.wav上听到该录音。
该邮件实际上是一种恶意的攻击方式,攻击者建立了一个IVR系统(Interactive Voice Response,交互语音应答系统)来试图收集受害者的账号信息。很大程度上可以怀疑邮件中的电话号码是恶意人员偷用他人的身份(换句话说也就是盗用信用卡),从VoIP提供商那里申请的。在VoIP的世界里,建立一个假冒的应答系统是相当容易的,因为攻击者申请的IVR的区号可以不受任何物理区域限制。正如在本文中后面看到的,在线购买一个800号码,并路由所有的来话到一个VoIP系统是一件非常简单的事。
前面提到的邮件事实上是第一批有记载的语音钓鱼攻击案例之一。语音钓鱼需要攻击者建立一个假冒的IVR系统(而不是建立一个假冒网站)来诱使受害者输入敏感信息,如账号、密码、社会保险号,或者是任何其他方式的个人身份认证的信息。攻击者记录的DTMF信息可以很容易地进行重放并随后进行相关的解码。
语音钓鱼攻击依赖的一个前提条件是受害者容易受欺骗,相比邮件链接而言,受害者更相信电话号码。同样,只需要很少的费用,攻击者就可以通过VoIP服务提供商建立一个IVR系统,相比被攻陷的网站而言,IVR更加难于追踪。同时,VoIP的本质使得这种类型的攻击更加易于实施,因为大多VoIP服务提供商允许其客户通过包月话费进行无限制的呼叫。
不久后,防病毒软件公司Sophos发现了另外的一种变种攻击技术。如图1所示,这次邮件声称是来自PayPal,并且也诱使接收者拨打恶意IVR系统控制的电话号码。
图1 PayPal语音钓鱼邮件
我们确确实实地见证了这种新兴的威胁的发展历程。在读者看到这里时,很有可能已经有了更多的攻击变种和语音钓鱼案例了。强调这样一个观点很重要,语音钓鱼并不是VoIP才有的威胁,而是一种社交威胁的演化形式,这些社交威胁在通信历史一直伴随着我们,如大量的传真、电话推销、电话信任恶搞、邮件钓鱼、IM垃圾信息等。#p#
语音钓鱼攻击剖析
实施语音钓鱼攻击比读者想象的更加容易。Jay Schulman在2006年8月2日的拉斯维加斯的BlackHat大会上进行了一次令人震撼的VoIP钓鱼演示。在会上,他进行了完全应用开源工具建立IVR系统而实施的VoIP钓鱼攻击的概念性演示。简单地讲,对其演示的攻击而言,两个主要的功能模块是:
一个入局的800 VoIP服务提供系统来接收来话。
一个PBX软件及语音信箱系统。
通过VoIP服务提供商获取800号码
为了签约一个800号码,Schulman选择了VoIP服务提供商sixTel(http://www.iax.cc),sixTel能够提供800号码,如果2所示。
图2 从VoIP服务提供商处获取800号码很容易
在sixTel的管理界面中,有一个选项可以设置路由所有来话通过IAX到另一个Asterisk服务器。#p#
陷阱--建立恶意的IVR系统
Trixbox(起初被称为家庭版Asterisk)可以被用来在一台计算机上安装PBX软件和语音信箱系统。Trixbox是一个完备的ISO映像文件,包括了所有的需要的部件及一些其他附件:
◆Asterisk,PBX核心
◆Sugar,一个CRM系统
◆A2Billing,一个电话卡业务平台
◆Flash操作控制板,一种基于屏幕的操作平台
◆Web Meet Me控制器,一个电话会议控制应用
◆freePBX,一个基于Web的Asterisk指配工具
◆一个报表系统,freePBX的提供CDR报表功能的部分
◆一个维护系统,Trixbox的一部分,提供到一些功能组件的底层接口,以及实时系统信息
◆CentOS,Linux的一个版本,和Fedora类似
只要一张CD,任何人都可以应用Trixbox,在一个小时之内建立一个PBX/IVR系统,并且使其正常运行,所要做的只是简单地将Trixbox ISO映像文件刻录到一张CD上,从CD上启动计算机,并且选择完全安装,这将应用前面列出的在硬盘上运行的所有组件自动建立一个独立的VoIP PBX。在一个典型的语音钓鱼攻击中,一台远程攻陷的主机最有可能用来分别安装这些组件。
一旦系统重新启动,攻击者可以登录到管理界面,并且开始做一些相应的配置和调整,如图3所示。
随后,通过Web界面添加一个中继,将Asterisk连接到新注册的800服务。最后,为了应用自己从想要冒充的合法的IVR系统录制的声音,将.wav文件复制到目录"/var/lib/asterisk/sounds"之下。最后一步是为"/etc/asterisk/extensions.conf"中的来话建立一个定制的响应菜单系统,称为[custom-phish],并通过Trixbox界面来付之应用。
此时,对任何拨打该800号码的人而言,IVR系统已经建立,可以收听录音,并进行留言了。
图3 Trixbox管理界面#p#
钓鱼攻击者
现在,攻击者已经成功建立了恶意的IVR系统,他需要向那些可能的受害者发送消息。典型地,钓鱼呼叫都是由严重的事件引起的,而这些事件通常都是鼓励用户采用电话的方式来避免,如账号过期、密码被破解,等等。攻击者的目标受害者仍然需要满足下列条件:
1.他们是目标公司的客户。
2.他们易于受骗,能够相信邮件中的号码是其金融机构的客户服务号码。
3.他们快速反应,并在恶意VoIP IP地址被取消之前,立刻拨打该号码来处理这些严重事件。
传统的邮件钓鱼攻击通常发送到成千上万个邮件地址,其大概的点击率为2%~5%。当前进行传统钓鱼攻击的做恶者手头上会掌握许多垃圾邮件工具。毫无疑问的,这些恶意人员也会是那些首先尝试语音钓鱼的人员。
除了"钓鱼攻击者"一节中传统的邮件诱使受害者方式,SPIT也能被有效地应用。正如在第14章中所讨论的,SPIT能够为成千上万的人进行留言预先录制的、和官方声音一样的信息,从而鼓励这些人拨打电话来获取更多信息。下面的语音信息,即使是那些非常警觉的人,也可能难以抵制:
"嘿,这里是美国运通卡公司的Bill Stevens,请立即给我们回电,讨论一下您信用卡可能遭到盗用的问题,号码1-800- 。"
"您好,您的电话账单没有按期付费,所以您收到此消息。请联系我们800- ,以免您的服务被停止。"
"这是关于您互联网服务的通知。系统显示您的账号由于大量下载非法在线音乐而面临被停止的风险,详细信息请联系客户服务代表,请在工作时间回电800- 。"
华盛顿邮报的Brian Krebs曾经报道了下面一则诈骗趣闻:
"上月,我对洲际酒店集团负责保密事务的副总裁Lynn Goodendorf进行访谈。她告诉我一则在亚特兰大区域(或者美国其他城市亦如此)已经是常见的诈骗。恶意人员装作是法庭办公室工作人员打电话给一些人,询问他为何没有作为陪审团一员出庭,不理会陪审团召集令可能会导致法庭签发据票并执行逮捕。在这类诈骗中,来话人员表明能够摆平这些事,前提是被叫提供其名字、社会保险号及其他个人信息。
"Goodendorf表示'这些诈骗非常有效,因为它通常确实能够使人们失去镇静或者惊慌失措。'设想一下,将个人信息提供给这些社会败类会给你带来怎样的不安!"
【编辑推荐】