对所有的用户而言,某个邮件看起来是合法的并且不存在钓鱼攻击的嫌疑,因为它没有努力诱使用户来点击一个混淆后的超链接或者是访问一个可疑的网站。然而,当拨打邮件中的电话时,下面的语音会播放“欢迎进入账号认证系统,请输入你的16位卡号”。
该邮件实际上是一种恶意的攻击方式,攻击者建立了一个IVR系统(Interactive Voice Response,交互语音应答系统)来试图收集受害者的账号信息。很大程度上可以怀疑邮件中的电话号码是恶意人员偷用他人的身份(换句话说也就是盗用信用卡),从VoIP提供商那里申请的。在VoIP的世界里,建立一个假冒的应答系统是相当容易的,因为攻击者申请的IVR的区号可以不受任何物理区域限制。正如在本文中后面看到的,在线购买一个800号码,并路由所有的来话到一个VoIP系统是一件非常简单的事。
前面提到的邮件事实上是第一批有记载的语音钓鱼攻击案例之一。语音钓鱼需要攻击者建立一个假冒的IVR系统(而不是建立一个假冒网站)来诱使受害者输入敏感信息,如账号、密码、社会保险号,或者是任何其他方式的个人身份认证的信息。攻击者记录的DTMF信息可以很容易地进行重放并随后进行相关的解码。
语音钓鱼攻击依赖的一个前提条件是受害者容易受欺骗,相比邮件链接而言,受害者更相信电话号码。同样,只需要很少的费用,攻击者就可以通过VoIP服务提供商建立一个IVR系统,相比被攻陷的网站而言,IVR更加难于追踪。同时,VoIP的本质使得这种类型的攻击更加易于实施,因为大多VoIP服务提供商允许其客户通过包月话费进行无限制的呼叫。
不久后,防病毒软件公司Sophos发现了另外的一种变种攻击技术。这次邮件声称是来自PayPal,并且也诱使接收者拨打恶意IVR系统控制的电话号码。
我们确确实实地见证了这种新兴的威胁的发展历程。在读者看到这里时,很有可能已经有了更多的攻击变种和语音钓鱼案例了。强调这样一个观点很重要,语音钓鱼并不是VoIP才有的威胁,而是一种社交威胁的演化形式,这些社交威胁在通信历史一直伴随着我们,如大量的传真、电话推销、电话信任恶搞、邮件钓鱼、IM垃圾信息等。
语音钓鱼攻击剖析
实施语音钓鱼攻击比读者想象的更加容易。Jay Schulman在2006年8月2日的拉斯维加斯的BlackHat大会上进行了一次令人震撼的VoIP钓鱼演示。在会上,他进行了完全应用开源工具建立IVR系统而实施的VoIP钓鱼攻击的概念性演示。简单地讲,对其演示的攻击而言,两个主要的功能模块是:
一个入局的800 VoIP服务提供系统来接收来话。
一个PBX软件及语音信箱系统。
通过VoIP服务提供商获取800号码
为了签约一个800号码,Schulman选择了VoIP服务提供商sixTel,sixTel能够提供800号码。
在sixTel的管理界面中,有一个选项可以设置路由所有来话通过IAX到另一个Asterisk服务器。
陷阱–建立恶意的IVR系统
Trixbox(起初被称为家庭版Asterisk)可以被用来在一台计算机上安装PBX软件和语音信箱系统。Trixbox是一个完备的ISO映像文件,包括了所有的需要的部件及一些其他附件:
Asterisk,PBX核心
Sugar,一个CRM系统
A2Billing,一个电话卡业务平台
Flash操作控制板,一种基于屏幕的操作平台
Web Meet Me控制器,一个电话会议控制应用
freePBX,一个基于Web的Asterisk指配工具
一个报表系统,freePBX的提供CDR报表功能的部分
一个维护系统,Trixbox的一部分,提供到一些功能组件的底层接口,以及实时系统信息
CentOS,Linux的一个版本,和Fedora类似
只要一张CD,任何人都可以应用Trixbox,在一个小时之内建立一个PBX/IVR系统,并且使其正常运行,所要做的只是简单地将Trixbox ISO映像文件刻录到一张CD上,从CD上启动计算机,并且选择完全安装,这将应用前面列出的在硬盘上运行的所有组件自动建立一个独立的VoIP PBX。在一个典型的语音钓鱼攻击中,一台远程攻陷的主机最有可能用来分别安装这些组件。
一旦系统重新启动,攻击者可以登录到管理界面,并且开始做一些相应的配置和调整。
随后,通过Web界面添加一个中继,将Asterisk连接到新注册的800服务。最后,为了应用自己从想要冒充的合法的IVR系统录制的声音,将.wav文件复制到目录“/var/lib/asterisk/sounds”之下。最后一步是为“/etc/asterisk/extensions.conf”中的来话建立一个定制的响应菜单系统,称为“custom-phish”,并通过Trixbox界面来付之应用。
此时,对任何拨打该800号码的人而言,IVR系统已经建立,可以收听录音,并进行留言了。
