對(duì)所有的用戶而言，這個(gè)郵件看起來是合法的并且不存在釣魚攻擊的嫌疑，因?yàn)樗鼪]有努力誘使用戶來點(diǎn)擊一個(gè)混淆后的超鏈接或者是訪問一個(gè)可疑的網(wǎng)站。然而，當(dāng)撥打郵件中的電話時(shí)，下面的語音會(huì)播放"歡迎進(jìn)入賬號(hào)認(rèn)證系統(tǒng)，請輸入你的16位卡號(hào)"，可以在網(wǎng)站http://www.websense.com/securitylabs/images/alerts/june_vishing.wav上聽到該錄音。

該郵件實(shí)際上是一種惡意的攻擊方式，攻擊者建立了一個(gè)IVR系統(tǒng)（Interactive Voice Response，交互語音應(yīng)答系統(tǒng)）來試圖收集受害者的賬號(hào)信息。很大程度上可以懷疑郵件中的電話號(hào)碼是惡意人員偷用他人的身份（換句話說也就是盜用信用卡），從VoIP提供商那里申請的。在VoIP的世界里，建立一個(gè)假冒的應(yīng)答系統(tǒng)是相當(dāng)容易的，因?yàn)楣粽呱暾埖腎VR的區(qū)號(hào)可以不受任何物理區(qū)域限制。正如在本文中后面看到的，在線購買一個(gè)800號(hào)碼，并路由所有的來話到一個(gè)VoIP系統(tǒng)是一件非常簡單的事。

前面提到的郵件事實(shí)上是第一批有記載的語音釣魚攻擊案例之一。語音釣魚需要攻擊者建立一個(gè)假冒的IVR系統(tǒng)（而不是建立一個(gè)假冒網(wǎng)站）來誘使受害者輸入敏感信息，如賬號(hào)、密碼、社會(huì)保險(xiǎn)號(hào)，或者是任何其他方式的個(gè)人身份認(rèn)證的信息。攻擊者記錄的DTMF信息可以很容易地進(jìn)行重放并隨后進(jìn)行相關(guān)的解碼。

語音釣魚攻擊依賴的一個(gè)前提條件是受害者容易受欺騙，相比郵件鏈接而言，受害者更相信電話號(hào)碼。同樣，只需要很少的費(fèi)用，攻擊者就可以通過VoIP服務(wù)提供商建立一個(gè)IVR系統(tǒng)，相比被攻陷的網(wǎng)站而言，IVR更加難于追蹤。同時(shí)，VoIP的本質(zhì)使得這種類型的攻擊更加易于實(shí)施，因?yàn)榇蠖郪oIP服務(wù)提供商允許其客戶通過包月話費(fèi)進(jìn)行無限制的呼叫。

不久后，防病毒軟件公司Sophos發(fā)現(xiàn)了另外的一種變種攻擊技術(shù)。如圖1所示，這次郵件聲稱是來自PayPal，并且也誘使接收者撥打惡意IVR系統(tǒng)控制的電話號(hào)碼。

圖1  PayPal語音釣魚郵件

我們確確實(shí)實(shí)地見證了這種新興的威脅的發(fā)展歷程。在讀者看到這里時(shí)，很有可能已經(jīng)有了更多的攻擊變種和語音釣魚案例了。強(qiáng)調(diào)這樣一個(gè)觀點(diǎn)很重要，語音釣魚并不是VoIP才有的威脅，而是一種社交威脅的演化形式，這些社交威脅在通信歷史一直伴隨著我們，如大量的傳真、電話推銷、電話信任惡搞、郵件釣魚、IM垃圾信息等。#p#

語音釣魚攻擊剖析

實(shí)施語音釣魚攻擊比讀者想象的更加容易。Jay Schulman在2006年8月2日的拉斯維加斯的BlackHat大會(huì)上進(jìn)行了一次令人震撼的VoIP釣魚演示。在會(huì)上，他進(jìn)行了完全應(yīng)用開源工具建立IVR系統(tǒng)而實(shí)施的VoIP釣魚攻擊的概念性演示。簡單地講，對(duì)其演示的攻擊而言，兩個(gè)主要的功能模塊是：

一個(gè)入局的800 VoIP服務(wù)提供系統(tǒng)來接收來話。

一個(gè)PBX軟件及語音信箱系統(tǒng)。

通過VoIP服務(wù)提供商獲取800號(hào)碼

為了簽約一個(gè)800號(hào)碼，Schulman選擇了VoIP服務(wù)提供商sixTel（http://www.iax.cc），sixTel能夠提供800號(hào)碼，如果2所示。

圖2  從VoIP服務(wù)提供商處獲取800號(hào)碼很容易

在sixTel的管理界面中，有一個(gè)選項(xiàng)可以設(shè)置路由所有來話通過IAX到另一個(gè)Asterisk服務(wù)器。#p#

陷阱--建立惡意的IVR系統(tǒng)

Trixbox（起初被稱為家庭版Asterisk）可以被用來在一臺(tái)計(jì)算機(jī)上安裝PBX軟件和語音信箱系統(tǒng)。Trixbox是一個(gè)完備的ISO映像文件，包括了所有的需要的部件及一些其他附件：

◆Asterisk，PBX核心

◆Sugar，一個(gè)CRM系統(tǒng)

◆A2Billing，一個(gè)電話卡業(yè)務(wù)平臺(tái)

◆Flash操作控制板，一種基于屏幕的操作平臺(tái)

◆Web Meet Me控制器，一個(gè)電話會(huì)議控制應(yīng)用

◆freePBX，一個(gè)基于Web的Asterisk指配工具

◆一個(gè)報(bào)表系統(tǒng)，freePBX的提供CDR報(bào)表功能的部分

◆一個(gè)維護(hù)系統(tǒng)，Trixbox的一部分，提供到一些功能組件的底層接口，以及實(shí)時(shí)系統(tǒng)信息

◆CentOS，Linux的一個(gè)版本，和Fedora類似

只要一張CD，任何人都可以應(yīng)用Trixbox，在一個(gè)小時(shí)之內(nèi)建立一個(gè)PBX/IVR系統(tǒng)，并且使其正常運(yùn)行，所要做的只是簡單地將Trixbox ISO映像文件刻錄到一張CD上，從CD上啟動(dòng)計(jì)算機(jī)，并且選擇完全安裝，這將應(yīng)用前面列出的在硬盤上運(yùn)行的所有組件自動(dòng)建立一個(gè)獨(dú)立的VoIP PBX。在一個(gè)典型的語音釣魚攻擊中，一臺(tái)遠(yuǎn)程攻陷的主機(jī)最有可能用來分別安裝這些組件。

一旦系統(tǒng)重新啟動(dòng)，攻擊者可以登錄到管理界面，并且開始做一些相應(yīng)的配置和調(diào)整，如圖3所示。

隨后，通過Web界面添加一個(gè)中繼，將Asterisk連接到新注冊的800服務(wù)。最后，為了應(yīng)用自己從想要冒充的合法的IVR系統(tǒng)錄制的聲音，將.wav文件復(fù)制到目錄"/var/lib/asterisk/sounds"之下。最后一步是為"/etc/asterisk/extensions.conf"中的來話建立一個(gè)定制的響應(yīng)菜單系統(tǒng)，稱為[custom-phish]，并通過Trixbox界面來付之應(yīng)用。

此時(shí)，對(duì)任何撥打該800號(hào)碼的人而言，IVR系統(tǒng)已經(jīng)建立，可以收聽錄音，并進(jìn)行留言了。

圖3 Trixbox管理界面#p#

釣魚攻擊者

現(xiàn)在，攻擊者已經(jīng)成功建立了惡意的IVR系統(tǒng)，他需要向那些可能的受害者發(fā)送消息。典型地，釣魚呼叫都是由嚴(yán)重的事件引起的，而這些事件通常都是鼓勵(lì)用戶采用電話的方式來避免，如賬號(hào)過期、密碼被破解，等等。攻擊者的目標(biāo)受害者仍然需要滿足下列條件：

1．他們是目標(biāo)公司的客戶。

2．他們易于受騙，能夠相信郵件中的號(hào)碼是其金融機(jī)構(gòu)的客戶服務(wù)號(hào)碼。

3．他們快速反應(yīng)，并在惡意VoIP IP地址被取消之前，立刻撥打該號(hào)碼來處理這些嚴(yán)重事件。

傳統(tǒng)的郵件釣魚攻擊通常發(fā)送到成千上萬個(gè)郵件地址，其大概的點(diǎn)擊率為2%～5%。當(dāng)前進(jìn)行傳統(tǒng)釣魚攻擊的做惡者手頭上會(huì)掌握許多垃圾郵件工具。毫無疑問的，這些惡意人員也會(huì)是那些首先嘗試語音釣魚的人員。

除了"釣魚攻擊者"一節(jié)中傳統(tǒng)的郵件誘使受害者方式，SPIT也能被有效地應(yīng)用。正如在第14章中所討論的，SPIT能夠?yàn)槌汕先f的人進(jìn)行留言預(yù)先錄制的、和官方聲音一樣的信息，從而鼓勵(lì)這些人撥打電話來獲取更多信息。下面的語音信息，即使是那些非常警覺的人，也可能難以抵制：

"嘿，這里是美國運(yùn)通卡公司的Bill Stevens，請立即給我們回電，討論一下您信用卡可能遭到盜用的問題，號(hào)碼1-800-        。"

"您好，您的電話賬單沒有按期付費(fèi)，所以您收到此消息。請聯(lián)系我們800-        ，以免您的服務(wù)被停止。"

"這是關(guān)于您互聯(lián)網(wǎng)服務(wù)的通知。系統(tǒng)顯示您的賬號(hào)由于大量下載非法在線音樂而面臨被停止的風(fēng)險(xiǎn)，詳細(xì)信息請聯(lián)系客戶服務(wù)代表，請?jiān)诠ぷ鲿r(shí)間回電800-        。"

華盛頓郵報(bào)的Brian Krebs曾經(jīng)報(bào)道了下面一則詐騙趣聞：

"上月，我對(duì)洲際酒店集團(tuán)負(fù)責(zé)保密事務(wù)的副總裁Lynn Goodendorf進(jìn)行訪談。她告訴我一則在亞特蘭大區(qū)域（或者美國其他城市亦如此）已經(jīng)是常見的詐騙。惡意人員裝作是法庭辦公室工作人員打電話給一些人，詢問他為何沒有作為陪審團(tuán)一員出庭，不理會(huì)陪審團(tuán)召集令可能會(huì)導(dǎo)致法庭簽發(fā)據(jù)票并執(zhí)行逮捕。在這類詐騙中，來話人員表明能夠擺平這些事，前提是被叫提供其名字、社會(huì)保險(xiǎn)號(hào)及其他個(gè)人信息。

"Goodendorf表示'這些詐騙非常有效，因?yàn)樗ǔ４_實(shí)能夠使人們失去鎮(zhèn)靜或者驚慌失措。'設(shè)想一下，將個(gè)人信息提供給這些社會(huì)敗類會(huì)給你帶來怎樣的不安！"

【編輯推薦】

1. 對(duì)VoIP技術(shù)體制的深入解讀
2. 企業(yè)該如何防范由VoIP引發(fā)的安全威脅
3. 易被黑客竊聽 VoIP安全需另眼相看
4. 網(wǎng)管支招：三部曲改變VoIP滲透所造成威脅