对所有的用户而言,这个邮件看起来是合法的并且不存在钓鱼攻击的嫌疑,因为它没有努力诱使用户来点击一个混淆后的超链接或者是访问一个可疑的网站。然而,当拨打邮件中的电话时,下面的语音会播放"欢迎进入账号认证系统,请输入你的16位卡号",可以在网站http://www.websense.com/securitylabs/images/alerts/june_vishing.wav上听到该录音。
该邮件实际上是一种恶意的攻击方式,攻击者建立了一个IVR系统(Interactive Voice Response,交互语音应答系统)来试图收集受害者的账号信息。很大程度上可以怀疑邮件中的电话号码是恶意人员偷用他人的身份(换句话说也就是盗用信用卡),从VoIP提供商那里申请的。在VoIP的世界里,建立一个假冒的应答系统是相当容易的,因为攻击者申请的IVR的区号可以不受任何物理区域限制。正如在本文中后面看到的,在线购买一个800号码,并路由所有的来话到一个VoIP系统是一件非常简单的事。
前面提到的邮件事实上是第一批有记载的语音钓鱼攻击案例之一。语音钓鱼需要攻击者建立一个假冒的IVR系统(而不是建立一个假冒网站)来诱使受害者输入敏感信息,如账号、密码、社会保险号,或者是任何其他方式的个人身份认证的信息。攻击者记录的DTMF信息可以很容易地进行重放并随后进行相关的解码。
语音钓鱼攻击依赖的一个前提条件是受害者容易受欺骗,相比邮件链接而言,受害者更相信电话号码。同样,只需要很少的费用,攻击者就可以通过VoIP服务提供商建立一个IVR系统,相比被攻陷的网站而言,IVR更加难于追踪。同时,VoIP的本质使得这种类型的攻击更加易于实施,因为大多VoIP服务提供商允许其客户通过包月话费进行无限制的呼叫。
不久后,防病毒软件公司Sophos发现了另外的一种变种攻击技术。如图1所示,这次邮件声称是来自PayPal,并且也诱使接收者拨打恶意IVR系统控制的电话号码。
图1 PayPal语音钓鱼邮件
我们确确实实地见证了这种新兴的威胁的发展历程。在读者看到这里时,很有可能已经有了更多的攻击变种和语音钓鱼案例了。强调这样一个观点很重要,语音钓鱼并不是VoIP才有的威胁,而是一种社交威胁的演化形式,这些社交威胁在通信历史一直伴随着我们,如大量的传真、电话推销、电话信任恶搞、邮件钓鱼、IM垃圾信息等。