黑客大曝光：语音钓鱼来了(4)

现在，攻击者已经成功建立了恶意的IVR系统，他需要向那些可能的受害者发送消息。典型地，钓鱼呼叫都是由严重的事件引起的，而这些事件通常都是鼓励用户采用电话的方式来避免，如账号过期、密码被破解，等等。攻击者的目标受害者仍然需要满足下列条件：

1．他们是目标公司的客户。

2．他们易于受骗，能够相信邮件中的号码是其金融机构的客户服务号码。

3．他们快速反应，并在恶意VoIP IP地址被取消之前，立刻拨打该号码来处理这些严重事件。

传统的邮件钓鱼攻击通常发送到成千上万个邮件地址，其大概的点击率为2%～5%。当前进行传统钓鱼攻击的做恶者手头上会掌握许多垃圾邮件工具。毫无疑问的，这些恶意人员也会是那些首先尝试语音钓鱼的人员。

除了"钓鱼攻击者"一节中传统的邮件诱使受害者方式，SPIT也能被有效地应用。正如在第14章中所讨论的，SPIT能够为成千上万的人进行留言预先录制的、和官方声音一样的信息，从而鼓励这些人拨打电话来获取更多信息。下面的语音信息，即使是那些非常警觉的人，也可能难以抵制：

"嘿，这里是美国运通卡公司的Bill Stevens，请立即给我们回电，讨论一下您信用卡可能遭到盗用的问题，号码1-800-        。"

"您好，您的电话账单没有按期付费，所以您收到此消息。请联系我们800-        ，以免您的服务被停止。"

"这是关于您互联网服务的通知。系统显示您的账号由于大量下载非法在线音乐而面临被停止的风险，详细信息请联系客户服务代表，请在工作时间回电800-        。"

华盛顿邮报的Brian Krebs曾经报道了下面一则诈骗趣闻：

"上月，我对洲际酒店集团负责保密事务的副总裁Lynn Goodendorf进行访谈。她告诉我一则在亚特兰大区域（或者美国其他城市亦如此）已经是常见的诈骗。恶意人员装作是法庭办公室工作人员打电话给一些人，询问他为何没有作为陪审团一员出庭，不理会陪审团召集令可能会导致法庭签发据票并执行逮捕。在这类诈骗中，来话人员表明能够摆平这些事，前提是被叫提供其名字、社会保险号及其他个人信息。

"Goodendorf表示'这些诈骗非常有效，因为它通常确实能够使人们失去镇静或者惊慌失措。'设想一下，将个人信息提供给这些社会败类会给你带来怎样的不安！"

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]