對所有的用戶而言，這個郵件看起來是合法的并且不存在釣魚攻擊的嫌疑，因為它沒有努力誘使用戶來點擊一個混淆后的超鏈接或者是訪問一個可疑的網站。然而，當撥打郵件中的電話時，下面的語音會播放"歡迎進入賬號認證系統，請輸入你的16位卡號"，可以在網站http://www.websense.com/securitylabs/images/alerts/june_vishing.wav上聽到該錄音。

該郵件實際上是一種惡意的攻擊方式，攻擊者建立了一個IVR系統（Interactive Voice Response，交互語音應答系統）來試圖收集受害者的賬號信息。很大程度上可以懷疑郵件中的電話號碼是惡意人員偷用他人的身份（換句話說也就是盜用信用卡），從VoIP提供商那里申請的。在VoIP的世界里，建立一個假冒的應答系統是相當容易的，因為攻擊者申請的IVR的區號可以不受任何物理區域限制。正如在本文中后面看到的，在線購買一個800號碼，并路由所有的來話到一個VoIP系統是一件非常簡單的事。

前面提到的郵件事實上是第一批有記載的語音釣魚攻擊案例之一。語音釣魚需要攻擊者建立一個假冒的IVR系統（而不是建立一個假冒網站）來誘使受害者輸入敏感信息，如賬號、密碼、社會保險號，或者是任何其他方式的個人身份認證的信息。攻擊者記錄的DTMF信息可以很容易地進行重放并隨后進行相關的解碼。

語音釣魚攻擊依賴的一個前提條件是受害者容易受欺騙，相比郵件鏈接而言，受害者更相信電話號碼。同樣，只需要很少的費用，攻擊者就可以通過VoIP服務提供商建立一個IVR系統，相比被攻陷的網站而言，IVR更加難于追蹤。同時，VoIP的本質使得這種類型的攻擊更加易于實施，因為大多VoIP服務提供商允許其客戶通過包月話費進行無限制的呼叫。

不久后，防病毒軟件公司Sophos發現了另外的一種變種攻擊技術。如圖1所示，這次郵件聲稱是來自PayPal，并且也誘使接收者撥打惡意IVR系統控制的電話號碼。

圖1  PayPal語音釣魚郵件

我們確確實實地見證了這種新興的威脅的發展歷程。在讀者看到這里時，很有可能已經有了更多的攻擊變種和語音釣魚案例了。強調這樣一個觀點很重要，語音釣魚并不是VoIP才有的威脅，而是一種社交威脅的演化形式，這些社交威脅在通信歷史一直伴隨著我們，如大量的傳真、電話推銷、電話信任惡搞、郵件釣魚、IM垃圾信息等。

語音釣魚攻擊剖析

實施語音釣魚攻擊比讀者想象的更加容易。Jay Schulman在2006年8月2日的拉斯維加斯的BlackHat大會上進行了一次令人震撼的VoIP釣魚演示。在會上，他進行了完全應用開源工具建立IVR系統而實施的VoIP釣魚攻擊的概念性演示。簡單地講，對其演示的攻擊而言，兩個主要的功能模塊是：

一個入局的800 VoIP服務提供系統來接收來話。

一個PBX軟件及語音信箱系統。

通過VoIP服務提供商獲取800號碼

為了簽約一個800號碼，Schulman選擇了VoIP服務提供商sixTel（http://www.iax.cc），sixTel能夠提供800號碼，如果2所示。

圖2  從VoIP服務提供商處獲取800號碼很容易

在sixTel的管理界面中，有一個選項可以設置路由所有來話通過IAX到另一個Asterisk服務器

陷阱--建立惡意的IVR系統

Trixbox（起初被稱為家庭版Asterisk）可以被用來在一臺計算機上安裝PBX軟件和語音信箱系統。Trixbox是一個完備的ISO映像文件，包括了所有的需要的部件及一些其他附件：

◆Asterisk，PBX核心

◆Sugar，一個CRM系統

◆A2Billing，一個電話卡業務平臺

◆Flash操作控制板，一種基于屏幕的操作平臺

◆Web Meet Me控制器，一個電話會議控制應用

◆freePBX，一個基于Web的Asterisk指配工具

◆一個報表系統，freePBX的提供CDR報表功能的部分

◆一個維護系統，Trixbox的一部分，提供到一些功能組件的底層接口，以及實時系統信息

◆CentOS，Linux的一個版本，和Fedora類似

只要一張CD，任何人都可以應用Trixbox，在一個小時之內建立一個PBX/IVR系統，并且使其正常運行，所要做的只是簡單地將Trixbox ISO映像文件刻錄到一張CD上，從CD上啟動計算機，并且選擇<