黑客大曝光：語音釣魚來了

該郵件實際上是一種惡意的攻擊方式，攻擊者建立了一個IVR系統（Interactive Voice Response，交互語音應答系統）來試圖收集受害者的賬號信息。很大程度上可以懷疑郵件中的電話號碼是惡意人員偷用他人的身份（換句話說也就是盜用信用卡），從VoIP提供商那里申請的。在VoIP的世界里，建立一個假冒的應答系統是相當容易的，因為攻擊者申請的IVR的區號可以不受任何物理區域限制。正如在本文中后面看到的，在線購買一個800號碼，并路由所有的來話到一個VoIP系統是一件非常簡單的事。

前面提到的郵件事實上是第一批有記載的語音釣魚攻擊案例之一。語音釣魚需要攻擊者建立一個假冒的IVR系統（而不是建立一個假冒網站）來誘使受害者輸入敏感信息，如賬號、密碼、社會保險號，或者是任何其他方式的個人身份認證的信息。攻擊者記錄的DTMF信息可以很容易地進行重放并隨后進行相關的解碼。

語音釣魚攻擊依賴的一個前提條件是受害者容易受欺騙，相比郵件鏈接而言，受害者更相信電話號碼。同樣，只需要很少的費用，攻擊者就可以通過VoIP服務提供商建立一個IVR系統，相比被攻陷的網站而言，IVR更加難于追蹤。同時，VoIP的本質使得這種類型的攻擊更加易于實施，因為大多VoIP服務提供商允許其客戶通過包月話費進行無限制的呼叫。

不久后，防病毒軟件公司Sophos發現了另外的一種變種攻擊技術。如圖1所示，這次郵件聲稱是來自PayPal，并且也誘使接收者撥打惡意IVR系統控制的電話號碼。

圖1  PayPal語音釣魚郵件

我們確確實實地見證了這種新興的威脅的發展歷程。在讀者看到這里時，很有可能已經有了更多的攻擊變種和語音釣魚案例了。強調這樣一個觀點很重要，語音釣魚并不是VoIP才有的威脅，而是一種社交威脅的演化形式，這些社交威脅在通信歷史一直伴隨著我們，如大量的傳真、電話推銷、電話信任惡搞、郵件釣魚、IM垃圾信息等。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]