黑客大曝光：語音釣魚來了

該郵件實(shí)際上是一種惡意的攻擊方式，攻擊者建立了一個IVR系統(tǒng)（Interactive Voice Response，交互語音應(yīng)答系統(tǒng)）來試圖收集受害者的賬號信息。很大程度上可以懷疑郵件中的電話號碼是惡意人員偷用他人的身份（換句話說也就是盜用信用卡），從VoIP提供商那里申請的。在VoIP的世界里，建立一個假冒的應(yīng)答系統(tǒng)是相當(dāng)容易的，因為攻擊者申請的IVR的區(qū)號可以不受任何物理區(qū)域限制。正如在本文中后面看到的，在線購買一個800號碼，并路由所有的來話到一個VoIP系統(tǒng)是一件非常簡單的事。

前面提到的郵件事實(shí)上是第一批有記載的語音釣魚攻擊案例之一。語音釣魚需要攻擊者建立一個假冒的IVR系統(tǒng)（而不是建立一個假冒網(wǎng)站）來誘使受害者輸入敏感信息，如賬號、密碼、社會保險號，或者是任何其他方式的個人身份認(rèn)證的信息。攻擊者記錄的DTMF信息可以很容易地進(jìn)行重放并隨后進(jìn)行相關(guān)的解碼。

語音釣魚攻擊依賴的一個前提條件是受害者容易受欺騙，相比郵件鏈接而言，受害者更相信電話號碼。同樣，只需要很少的費(fèi)用，攻擊者就可以通過VoIP服務(wù)提供商建立一個IVR系統(tǒng)，相比被攻陷的網(wǎng)站而言，IVR更加難于追蹤。同時，VoIP的本質(zhì)使得這種類型的攻擊更加易于實(shí)施，因為大多VoIP服務(wù)提供商允許其客戶通過包月話費(fèi)進(jìn)行無限制的呼叫。

不久后，防病毒軟件公司Sophos發(fā)現(xiàn)了另外的一種變種攻擊技術(shù)。如圖1所示，這次郵件聲稱是來自PayPal，并且也誘使接收者撥打惡意IVR系統(tǒng)控制的電話號碼。

圖1  PayPal語音釣魚郵件

我們確確實(shí)實(shí)地見證了這種新興的威脅的發(fā)展歷程。在讀者看到這里時，很有可能已經(jīng)有了更多的攻擊變種和語音釣魚案例了。強(qiáng)調(diào)這樣一個觀點(diǎn)很重要，語音釣魚并不是VoIP才有的威脅，而是一種社交威脅的演化形式，這些社交威脅在通信歷史一直伴隨著我們，如大量的傳真、電話推銷、電話信任惡搞、郵件釣魚、IM垃圾信息等。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]