黑客大曝光：语音钓鱼来了

该邮件实际上是一种恶意的攻击方式，攻击者建立了一个IVR系统（Interactive Voice Response，交互语音应答系统）来试图收集受害者的账号信息。很大程度上可以怀疑邮件中的电话号码是恶意人员偷用他人的身份（换句话说也就是盗用信用卡），从VoIP提供商那里申请的。在VoIP的世界里，建立一个假冒的应答系统是相当容易的，因为攻击者申请的IVR的区号可以不受任何物理区域限制。正如在本文中后面看到的，在线购买一个800号码，并路由所有的来话到一个VoIP系统是一件非常简单的事。

前面提到的邮件事实上是第一批有记载的语音钓鱼攻击案例之一。语音钓鱼需要攻击者建立一个假冒的IVR系统（而不是建立一个假冒网站）来诱使受害者输入敏感信息，如账号、密码、社会保险号，或者是任何其他方式的个人身份认证的信息。攻击者记录的DTMF信息可以很容易地进行重放并随后进行相关的解码。

语音钓鱼攻击依赖的一个前提条件是受害者容易受欺骗，相比邮件链接而言，受害者更相信电话号码。同样，只需要很少的费用，攻击者就可以通过VoIP服务提供商建立一个IVR系统，相比被攻陷的网站而言，IVR更加难于追踪。同时，VoIP的本质使得这种类型的攻击更加易于实施，因为大多VoIP服务提供商允许其客户通过包月话费进行无限制的呼叫。

不久后，防病毒软件公司Sophos发现了另外的一种变种攻击技术。如图1所示，这次邮件声称是来自PayPal，并且也诱使接收者拨打恶意IVR系统控制的电话号码。

图1  PayPal语音钓鱼邮件

我们确确实实地见证了这种新兴的威胁的发展历程。在读者看到这里时，很有可能已经有了更多的攻击变种和语音钓鱼案例了。强调这样一个观点很重要，语音钓鱼并不是VoIP才有的威胁，而是一种社交威胁的演化形式，这些社交威胁在通信历史一直伴随着我们，如大量的传真、电话推销、电话信任恶搞、邮件钓鱼、IM垃圾信息等。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]