黑客大曝光:語音釣魚來了
對所有的用戶而言,這個郵件看起來是合法的并且不存在釣魚攻擊的嫌疑,因為它沒有努力誘使用戶來點擊一個混淆后的超鏈接或者是訪問一個可疑的網站。然而,當撥打郵件中的電話時,下面的語音會播放"歡迎進入賬號認證系統,請輸入你的16位卡號",可以在網站http://www.websense.com/securitylabs/images/alerts/june_vishing.wav上聽到該錄音。
該郵件實際上是一種惡意的攻擊方式,攻擊者建立了一個IVR系統(Interactive Voice Response,交互語音應答系統)來試圖收集受害者的賬號信息。很大程度上可以懷疑郵件中的電話號碼是惡意人員偷用他人的身份(換句話說也就是盜用信用卡),從VoIP提供商那里申請的。在VoIP的世界里,建立一個假冒的應答系統是相當容易的,因為攻擊者申請的IVR的區號可以不受任何物理區域限制。正如在本文中后面看到的,在線購買一個800號碼,并路由所有的來話到一個VoIP系統是一件非常簡單的事。
前面提到的郵件事實上是第一批有記載的語音釣魚攻擊案例之一。語音釣魚需要攻擊者建立一個假冒的IVR系統(而不是建立一個假冒網站)來誘使受害者輸入敏感信息,如賬號、密碼、社會保險號,或者是任何其他方式的個人身份認證的信息。攻擊者記錄的DTMF信息可以很容易地進行重放并隨后進行相關的解碼。
語音釣魚攻擊依賴的一個前提條件是受害者容易受欺騙,相比郵件鏈接而言,受害者更相信電話號碼。同樣,只需要很少的費用,攻擊者就可以通過VoIP服務提供商建立一個IVR系統,相比被攻陷的網站而言,IVR更加難于追蹤。同時,VoIP的本質使得這種類型的攻擊更加易于實施,因為大多VoIP服務提供商允許其客戶通過包月話費進行無限制的呼叫。
不久后,防病毒軟件公司Sophos發現了另外的一種變種攻擊技術。如圖1所示,這次郵件聲稱是來自PayPal,并且也誘使接收者撥打惡意IVR系統控制的電話號碼。
圖1 PayPal語音釣魚郵件
我們確確實實地見證了這種新興的威脅的發展歷程。在讀者看到這里時,很有可能已經有了更多的攻擊變種和語音釣魚案例了。強調這樣一個觀點很重要,語音釣魚并不是VoIP才有的威脅,而是一種社交威脅的演化形式,這些社交威脅在通信歷史一直伴隨著我們,如大量的傳真、電話推銷、電話信任惡搞、郵件釣魚、IM垃圾信息等。#p#
語音釣魚攻擊剖析
實施語音釣魚攻擊比讀者想象的更加容易。Jay Schulman在2006年8月2日的拉斯維加斯的BlackHat大會上進行了一次令人震撼的VoIP釣魚演示。在會上,他進行了完全應用開源工具建立IVR系統而實施的VoIP釣魚攻擊的概念性演示。簡單地講,對其演示的攻擊而言,兩個主要的功能模塊是:
一個入局的800 VoIP服務提供系統來接收來話。
一個PBX軟件及語音信箱系統。
通過VoIP服務提供商獲取800號碼
為了簽約一個800號碼,Schulman選擇了VoIP服務提供商sixTel(http://www.iax.cc),sixTel能夠提供800號碼,如果2所示。
圖2 從VoIP服務提供商處獲取800號碼很容易
在sixTel的管理界面中,有一個選項可以設置路由所有來話通過IAX到另一個Asterisk服務器。#p#
陷阱--建立惡意的IVR系統
Trixbox(起初被稱為家庭版Asterisk)可以被用來在一臺計算機上安裝PBX軟件和語音信箱系統。Trixbox是一個完備的ISO映像文件,包括了所有的需要的部件及一些其他附件:
◆Asterisk,PBX核心
◆Sugar,一個CRM系統
◆A2Billing,一個電話卡業務平臺
◆Flash操作控制板,一種基于屏幕的操作平臺
◆Web Meet Me控制器,一個電話會議控制應用
◆freePBX,一個基于Web的Asterisk指配工具
◆一個報表系統,freePBX的提供CDR報表功能的部分
◆一個維護系統,Trixbox的一部分,提供到一些功能組件的底層接口,以及實時系統信息
◆CentOS,Linux的一個版本,和Fedora類似
只要一張CD,任何人都可以應用Trixbox,在一個小時之內建立一個PBX/IVR系統,并且使其正常運行,所要做的只是簡單地將Trixbox ISO映像文件刻錄到一張CD上,從CD上啟動計算機,并且選擇完全安裝,這將應用前面列出的在硬盤上運行的所有組件自動建立一個獨立的VoIP PBX。在一個典型的語音釣魚攻擊中,一臺遠程攻陷的主機最有可能用來分別安裝這些組件。
一旦系統重新啟動,攻擊者可以登錄到管理界面,并且開始做一些相應的配置和調整,如圖3所示。
隨后,通過Web界面添加一個中繼,將Asterisk連接到新注冊的800服務。最后,為了應用自己從想要冒充的合法的IVR系統錄制的聲音,將.wav文件復制到目錄"/var/lib/asterisk/sounds"之下。最后一步是為"/etc/asterisk/extensions.conf"中的來話建立一個定制的響應菜單系統,稱為[custom-phish],并通過Trixbox界面來付之應用。
此時,對任何撥打該800號碼的人而言,IVR系統已經建立,可以收聽錄音,并進行留言了。
圖3 Trixbox管理界面#p#
釣魚攻擊者
現在,攻擊者已經成功建立了惡意的IVR系統,他需要向那些可能的受害者發送消息。典型地,釣魚呼叫都是由嚴重的事件引起的,而這些事件通常都是鼓勵用戶采用電話的方式來避免,如賬號過期、密碼被破解,等等。攻擊者的目標受害者仍然需要滿足下列條件:
1.他們是目標公司的客戶。
2.他們易于受騙,能夠相信郵件中的號碼是其金融機構的客戶服務號碼。
3.他們快速反應,并在惡意VoIP IP地址被取消之前,立刻撥打該號碼來處理這些嚴重事件。
傳統的郵件釣魚攻擊通常發送到成千上萬個郵件地址,其大概的點擊率為2%~5%。當前進行傳統釣魚攻擊的做惡者手頭上會掌握許多垃圾郵件工具。毫無疑問的,這些惡意人員也會是那些首先嘗試語音釣魚的人員。
除了"釣魚攻擊者"一節中傳統的郵件誘使受害者方式,SPIT也能被有效地應用。正如在第14章中所討論的,SPIT能夠為成千上萬的人進行留言預先錄制的、和官方聲音一樣的信息,從而鼓勵這些人撥打電話來獲取更多信息。下面的語音信息,即使是那些非常警覺的人,也可能難以抵制:
"嘿,這里是美國運通卡公司的Bill Stevens,請立即給我們回電,討論一下您信用卡可能遭到盜用的問題,號碼1-800- 。"
"您好,您的電話賬單沒有按期付費,所以您收到此消息。請聯系我們800- ,以免您的服務被停止。"
"這是關于您互聯網服務的通知。系統顯示您的賬號由于大量下載非法在線音樂而面臨被停止的風險,詳細信息請聯系客戶服務代表,請在工作時間回電800- 。"
華盛頓郵報的Brian Krebs曾經報道了下面一則詐騙趣聞:
"上月,我對洲際酒店集團負責保密事務的副總裁Lynn Goodendorf進行訪談。她告訴我一則在亞特蘭大區域(或者美國其他城市亦如此)已經是常見的詐騙。惡意人員裝作是法庭辦公室工作人員打電話給一些人,詢問他為何沒有作為陪審團一員出庭,不理會陪審團召集令可能會導致法庭簽發據票并執行逮捕。在這類詐騙中,來話人員表明能夠擺平這些事,前提是被叫提供其名字、社會保險號及其他個人信息。
"Goodendorf表示'這些詐騙非常有效,因為它通常確實能夠使人們失去鎮靜或者驚慌失措。'設想一下,將個人信息提供給這些社會敗類會給你帶來怎樣的不安!"
【編輯推薦】
