久久久久毛片成人精品_黑客惡意攻擊新招：語(yǔ)音釣魚(yú)欺詐_CTI平臺_IVR

黑客惡意攻擊新招：語(yǔ)音釣魚(yú)欺詐

網(wǎng)杣 2010/11/15

　　對所有的用戶(hù)而言，某個(gè)郵件看起來(lái)是合法的并且不存在釣魚(yú)攻擊的嫌疑，因為它沒(méi)有努力誘使用戶(hù)來(lái)點(diǎn)擊一個(gè)混淆后的超鏈接或者是訪(fǎng)問(wèn)一個(gè)可疑的網(wǎng)站。然而，當撥打郵件中的電話(huà)時(shí)，下面的語(yǔ)音會(huì )播放“歡迎進(jìn)入賬號認證系統，請輸入你的16位卡號”。

　　該郵件實(shí)際上是一種惡意的攻擊方式，攻擊者建立了一個(gè)IVR系統（Interactive Voice Response，交互語(yǔ)音應答系統）來(lái)試圖收集受害者的賬號信息。很大程度上可以懷疑郵件中的電話(huà)號碼是惡意人員偷用他人的身份（換句話(huà)說(shuō)也就是盜用信用卡），從VoIP提供商那里申請的。在VoIP的世界里，建立一個(gè)假冒的應答系統是相當容易的，因為攻擊者申請的IVR的區號可以不受任何物理區域限制。正如在本文中后面看到的，在線(xiàn)購買(mǎi)一個(gè)800號碼，并路由所有的來(lái)話(huà)到一個(gè)VoIP系統是一件非常簡(jiǎn)單的事。

　　前面提到的郵件事實(shí)上是第一批有記載的語(yǔ)音釣魚(yú)攻擊案例之一。語(yǔ)音釣魚(yú)需要攻擊者建立一個(gè)假冒的IVR系統（而不是建立一個(gè)假冒網(wǎng)站）來(lái)誘使受害者輸入敏感信息，如賬號、密碼、社會(huì )保險號，或者是任何其他方式的個(gè)人身份認證的信息。攻擊者記錄的DTMF信息可以很容易地進(jìn)行重放并隨后進(jìn)行相關(guān)的解碼。

　　語(yǔ)音釣魚(yú)攻擊依賴(lài)的一個(gè)前提條件是受害者容易受欺騙，相比郵件鏈接而言，受害者更相信電話(huà)號碼。同樣，只需要很少的費用，攻擊者就可以通過(guò)VoIP服務(wù)提供商建立一個(gè)IVR系統，相比被攻陷的網(wǎng)站而言，IVR更加難于追蹤。同時(shí)，VoIP的本質(zhì)使得這種類(lèi)型的攻擊更加易于實(shí)施，因為大多VoIP服務(wù)提供商允許其客戶(hù)通過(guò)包月話(huà)費進(jìn)行無(wú)限制的呼叫。

　　不久后，防病毒軟件公司Sophos發(fā)現了另外的一種變種攻擊技術(shù)。這次郵件聲稱(chēng)是來(lái)自PayPal，并且也誘使接收者撥打惡意IVR系統控制的電話(huà)號碼。

　　我們確確實(shí)實(shí)地見(jiàn)證了這種新興的威脅的發(fā)展歷程。在讀者看到這里時(shí)，很有可能已經(jīng)有了更多的攻擊變種和語(yǔ)音釣魚(yú)案例了。強調這樣一個(gè)觀(guān)點(diǎn)很重要，語(yǔ)音釣魚(yú)并不是VoIP才有的威脅，而是一種社交威脅的演化形式，這些社交威脅在通信歷史一直伴隨著(zhù)我們，如大量的傳真、電話(huà)推銷(xiāo)、電話(huà)信任惡搞、郵件釣魚(yú)、IM垃圾信息等。

　　語(yǔ)音釣魚(yú)攻擊剖析

　　實(shí)施語(yǔ)音釣魚(yú)攻擊比讀者想象的更加容易。Jay Schulman在2006年8月2日的拉斯維加斯的BlackHat大會(huì )上進(jìn)行了一次令人震撼的VoIP釣魚(yú)演示。在會(huì )上，他進(jìn)行了完全應用開(kāi)源工具建立IVR系統而實(shí)施的VoIP釣魚(yú)攻擊的概念性演示。簡(jiǎn)單地講，對其演示的攻擊而言，兩個(gè)主要的功能模塊是：

　　一個(gè)入局的800 VoIP服務(wù)提供系統來(lái)接收來(lái)話(huà)。

　　一個(gè)PBX軟件及語(yǔ)音信箱系統。

　　通過(guò)VoIP服務(wù)提供商獲取800號碼

　　為了簽約一個(gè)800號碼，Schulman選擇了VoIP服務(wù)提供商sixTel，sixTel能夠提供800號碼。

　　在sixTel的管理界面中，有一個(gè)選項可以設置路由所有來(lái)話(huà)通過(guò)IAX到另一個(gè)Asterisk服務(wù)器。

　　陷阱--建立惡意的IVR系統

　　Trixbox（起初被稱(chēng)為家庭版Asterisk）可以被用來(lái)在一臺計算機上安裝PBX軟件和語(yǔ)音信箱系統。Trixbox是一個(gè)完備的ISO映像文件，包括了所有的需要的部件及一些其他附件：

Asterisk，PBX核心

Sugar，一個(gè)CRM系統

A2Billing，一個(gè)電話(huà)卡業(yè)務(wù)平臺

Flash操作控制板，一種基于屏幕的操作平臺

Web Meet Me控制器，一個(gè)電話(huà)會(huì )議控制應用

freePBX，一個(gè)基于Web的Asterisk指配工具

一個(gè)報表系統，freePBX的提供CDR報表功能的部分

一個(gè)維護系統，Trixbox的一部分，提供到一些功能組件的底層接口，以及實(shí)時(shí)系統信息

CentOS，Linux的一個(gè)版本，和Fedora類(lèi)似

　　只要一張CD，任何人都可以應用Trixbox，在一個(gè)小時(shí)之內建立一個(gè)PBX/IVR系統，并且使其正常運行，所要做的只是簡(jiǎn)單地將Trixbox ISO映像文件刻錄到一張CD上，從CD上啟動(dòng)計算機，并且選擇完全安裝，這將應用前面列出的在硬盤(pán)上運行的所有組件自動(dòng)建立一個(gè)獨立的VoIP PBX。在一個(gè)典型的語(yǔ)音釣魚(yú)攻擊中，一臺遠程攻陷的主機最有可能用來(lái)分別安裝這些組件。

　　一旦系統重新啟動(dòng)，攻擊者可以登錄到管理界面，并且開(kāi)始做一些相應的配置和調整。

　　隨后，通過(guò)Web界面添加一個(gè)中繼，將Asterisk連接到新注冊的800服務(wù)。最后，為了應用自己從想要冒充的合法的IVR系統錄制的聲音，將.wav文件復制到目錄“/var/lib/asterisk/sounds”之下。最后一步是為“/etc/asterisk/extensions.conf”中的來(lái)話(huà)建立一個(gè)定制的響應菜單系統，稱(chēng)為“custom-phish”，并通過(guò)Trixbox界面來(lái)付之應用。

　　此時(shí)，對任何撥打該800號碼的人而言，IVR系統已經(jīng)建立，可以收聽(tīng)錄音，并進(jìn)行留言了。

　　釣魚(yú)攻擊者

　　現在，攻擊者已經(jīng)成功建立了惡意的IVR系統，他需要向那些可能的受害者發(fā)送消息。典型地，釣魚(yú)呼叫都是由嚴重的事件引起的，而這些事件通常都是鼓勵用戶(hù)采用電話(huà)的方式來(lái)避免，如賬號過(guò)期、密碼被破解，等等。攻擊者的目標受害者仍然需要滿(mǎn)足下列條件：

　　1．他們是目標公司的客戶(hù)。

　　2．他們易于受騙，能夠相信郵件中的號碼是其金融機構的客戶(hù)服務(wù)號碼。

　　3．他們快速反應，并在惡意VoIP IP地址被取消之前，立刻撥打該號碼來(lái)處理這些嚴重事件。

　　傳統的郵件釣魚(yú)攻擊通常發(fā)送到成千上萬(wàn)個(gè)郵件地址，其大概的點(diǎn)擊率為2%～5%。當前進(jìn)行傳統釣魚(yú)攻擊的做惡者手頭上會(huì )掌握許多垃圾郵件工具。毫無(wú)疑問(wèn)的，這些惡意人員也會(huì )是那些首先嘗試語(yǔ)音釣魚(yú)的人員。

　　除了“釣魚(yú)攻擊者”一節中傳統的郵件誘使受害者方式，SPIT也能被有效地應用。正如在第14章中所討論的，SPIT能夠為成千上萬(wàn)的人進(jìn)行留言預先錄制的、和官方聲音一樣的信息，從而鼓勵這些人撥打電話(huà)來(lái)獲取更多信息。下面的語(yǔ)音信息，即使是那些非常警覺(jué)的人，也可能難以抵制：

　　“嘿，這里是美國運通卡公司的Bill Stevens，請立即給我們回電，討論一下您信用卡可能遭到盜用的問(wèn)題，號碼1-800-……。”

　　“您好，您的電話(huà)賬單沒(méi)有按期付費，所以您收到此消息。請聯(lián)系我們800-……，以免您的服務(wù)被停止。”

　　“這是關(guān)于您互聯(lián)網(wǎng)服務(wù)的通知。系統顯示您的賬號由于大量下載非法在線(xiàn)音樂(lè )而面臨被停止的風(fēng)險，詳細信息請聯(lián)系客戶(hù)服務(wù)代表，請在工作時(shí)間回電800-……。”

　　華盛頓郵報的Brian Krebs曾經(jīng)報道了下面一則詐騙趣聞：

　　“上月，我對洲際酒店集團負責保密事務(wù)的副總裁Lynn Goodendorf進(jìn)行訪(fǎng)談。她告訴我一則在亞特蘭大區域（或者美國其他城市亦如此）已經(jīng)是常見(jiàn)的詐騙。惡意人員裝作是法庭辦公室工作人員打電話(huà)給一些人，詢(xún)問(wèn)他為何沒(méi)有作為陪審團一員出庭，不理會(huì )陪審團召集令可能會(huì )導致法庭簽發(fā)據票并執行逮捕。在這類(lèi)詐騙中，來(lái)話(huà)人員表明能夠擺平這些事，前提是被叫提供其名字、社會(huì )保險號及其他個(gè)人信息。”

　　“Goodendorf表示‘這些詐騙非常有效，因為它通常確實(shí)能夠使人們失去鎮靜或者驚慌失措。’設想一下，將個(gè)人信息提供給這些社會(huì )敗類(lèi)會(huì )給你帶來(lái)怎樣的不安！”

賽迪網(wǎng)

相關(guān)閱讀:

人機接口的發(fā)展演變路線(xiàn)圖 2010-11-02

科大訊飛董事長(cháng)劉慶峰介紹語(yǔ)音云概念 2010-10-29

經(jīng)典回顧《Dialogic 從入門(mén)到系統工程師》 2010-08-16

電話(huà)銀行安全“新衛士”——聲紋識別 2010-07-21

OA和CRM業(yè)務(wù)系統中如何集成語(yǔ)音通話(huà)？ 2010-07-16

熱點(diǎn)專(zhuān)題: VoIP
分類(lèi)信息: CTI文摘_與_CTI平臺技術(shù) CTI文摘_與_IVR技術(shù) CTI平臺技術(shù)_與_IVR技術(shù)

亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩阳东县| 阿拉善左旗| 宝丰县| 安新县| 通山县| 惠东县| 湖口县| 清水河县| 垣曲县| 雅安市| 乐都县| 大宁县| 云阳县| 金秀| 临邑县| 扶绥县| 板桥市| 扎兰屯市| 本溪市| 大城县| 交口县| 湟源县| 佛山市| 神农架林区| 图木舒克市| 石泉县| 涟源市| 仙居县| 台中县| 都匀市| 桦南县| 叶城县| 东乡县| 库伦旗| 当阳市| 中西区| 宿迁市| 安阳市| 扶绥县| 六盘水市| 中卫市| http://444 http://444 http://444 http://444 http://444 http://444