Połączenie phishingu z klasycznym telefonem, który nie ma odpowiednich filtrów czy mechanizmów uwierzytelnienia i zabezpieczenia transmisji powoduje, że skuteczność ataków wykorzystujących tego typu metodę może być wyższa niż ataków internetowych.

Telefon jest uważany za bardziej pewne i bezpieczne medium komunikacji niż Internet, ale integracja kanałów telekomunikacyjnych i popularyzacja teleserwisów, które odciążają centra obsługi klientów i zwiększają jakość ich pracy powodują, że przestępcy zainteresowali się również tym tradycyjnym kanałem wymiany informacji. Podsłuchanie bezpośrednich połączeń, np. klient-bank, nie jest możliwe dla zwykłego przestępcy. Wymagałoby to zorganizowania podsłuchu na linii prowadzącej do systemów teleinformatycznych banku. Ale wykorzystanie socjotechniki i połączenie phishingu z fałszywymi połączeniami telefonicznymi to metoda umożliwiająca atak. Zwłaszcza, gdy tradycyjne maile phishingowe, rozsyłane masowo i kierujące do fałszywej witryny internetowej są już coraz mniej skuteczne, bo oprócz filtrów wbudowanych w nowoczesne przeglądarki internetowe wiele motorów antyspamowych potrafi eliminować sfałszowane maile. Dlatego też cyberprzestępcy zaczynają wykorzystywać połączenie tradycyjnego phishingu z kanałem, który nie ma ani filtrów, ani rozsądnego technicznego uwierzytelnienia lub zabezpieczenia transmisji - czyli telefonem.

Fałszywa infolinia...

Typowym celem przestępców jest automatyczny teleserwis banków, ułatwiający życie ich klientom. Niestety atak z użyciem manipulacji socjotechnicznej jest dość skuteczny, łatwy do przeprowadzenia i stosunkowo tani. Najmniej kosztownym sposobem jest wykupienie infolinii (z numerem telefonicznym 0-800) i zainstalowanie tam imitacji systemu IVR za pomocą łatwo dostępnych narzędzi, takich jak programowa centrala Asterisk albo narzędzie Trixbox, które ułatwia konfigurację telefonii VoIP. Następnie trzeba rozesłać odpowiednio spreparowane e-mail, które mają zachęcać np. posiadaczy kart płatniczych do kontaktu z bankiem.

Ich tekst często zawiera informacje o ataku skierowanym przeciw użytkownikowi i związanym z tym zablokowaniem karty przez bank. Użytkownicy często zostają zmyleni tymi wiadomościami i dzwonią pod numer podany w liście elektronicznym (lub też wiadomości SMS) nie zastanawiając się, czy jest to prawdziwy numer banku. Równie skuteczne jest ogłoszenie informujące, że "w celu ułatwienia Państwu uzyskania dostępu, uruchomiliśmy specjalną infolinię z prostym, automatycznym odblokowaniem dostępu". Warto zauważyć, że nigdzie nie pojawia się w nim nazwa banku, zatem atak może objąć klientów wielu różnych instytucji finansowych.

Gdy cyberprzestępca ma zamiar przechwycić tylko informacje wybierane za pomocą klawiszy telefonu (DTMF), może skorzystać z automatu rejestrującego wciskane klawisze oraz łączącego te dane z identyfikacją numeru. Większość klientów, w razie sygnalizowania jakichkolwiek problemów, będzie chciało połączyć się z konsultantem, zatem menu fałszywego IVR musiałoby być odpowiednio przystosowane, by go do tego zniechęcić. Aby sprawić wrażenie lepszego bezpieczeństwa, cyberprzestępca może też skonfigurować system w ten sposób, by po wprowadzeniu wszystkich danych oddzwaniał on automatycznie pod numer, z którego inicjowano połączenie. Po umieszczeniu odpowiedniej zapowiedzi oraz sfałszowaniu numeru identyfikacji CLIP, ofiara będzie przekonana, że oddzwonił do niej system teleinformatyczny banku.

... lub przekierowanie

Zamiast pracowicie imitować oryginalny system IVR lub instalować jego "rozszerzenie", cyberprzestępcy mogą skorzystać z metody przekierowywania połączeń do oryginalnego systemu, rejestrując jednocześnie przekazywane informacje. Jest to bardzo proste w realizacji, a koszty "wdrożenia i utrzymania" są niewielkie, bo można skorzystać na przykład z ryczałtowych ofert VoIP. Do zbudowania takiego systemu oprócz programowej centrali (np. Asterisk lub środowisko Trixbox) należy zakupić dwie usługi - infolinię z numerem 0-800 oraz konto telefonii internetowej dla połączeń wychodzących. Tego typu atak był demonstrowany na żywo podczas majowej prezentacji Kevina Mitnicka w Alpbach, zaś informacje o technicznych szczegółach ich realizacji zostały opublikowane już w maju 2006 r. na konferencji Black Hat (prezentacja J. Schulmana). Nie jest to więc jedynie teoretyczna spekulacja, ale rzeczywiste zagrożenie.

Atak prowadzony poprzez przekierowanie i rejestrację rozmów wymaga wiele pracy przy analizie nagrań. Ale przestępca może uzyskać bardzo cenne informacje osobiste, powszechnie używane przy uwierzytelnieniu przez telefon, na przykład nazwisko panieńskie matki czy imię ulubionego domowego zwierzaka. Oprócz tego przekierowywanie połączeń jest trudne do wykrycia. Jeszcze trudniejsze jest wykrycie przez bank podstawienia fałszywego systemu IVR, przeznaczonego dla przechwytywania informacji wysyłanych za pomocą klawiszy telefonu (DTMF), gdyż jest to system niezależny. Skuteczność takich ataków może być znacznie wyższa niż zwykłych przekierowań na fałszywe witryny internetowe, bowiem ludzie są coraz bardziej świadomi zagrożenia w Internecie, zaś telefon jest uważany za pewniejsze medium komunikacji. Jedną z przyczyn jest brak powszechnej wiedzy na temat usług oferowanych przez nowoczesną telefonię, takich jak przekierowanie połączenia.

Uszczelnianie IVR

Jedynym w miarę pewnym sposobem odkrycia ataku man in the middle jest wykorzystywanie identyfikacji numeru przychodzącego i porównywanie pozyskanych informacji z identyfikacją klienta. Gdy pojawią się znaczne ilości połączeń różnych klientów z pojedynczego numeru lub z grupy numerów, systemy zabezpieczeń powinny podnieść alarm. Nie wolno jednak całkowicie ufać identyfikacji numeru przychodzącego, gdyż łatwo można ją sfałszować. Zabezpieczenia nie mogą się kończyć na wykrywaniu już rozpoczętych ataków, należy także zastanowić się nad bezpieczeństwem samej aplikacji IVR.

System IVR powinien być tak skonstruowany, by klient w jednym połączeniu nie ujawniał wszystkich danych, wystarczających do autoryzacji przy następnym połączeniu. Można to osiągnąć na kilka sposobów, najczęściej stosowanym jest maskowanie hasła dostępu. Przy tej metodzie klient definiuje swoje prywatne, wielocyfrowe hasło, zaś przy autoryzacji system żąda kilku (najczęściej trzech lub czterech) losowo wybranych cyfr z tego hasła. Dzięki maskowaniu, podsłuchanie pojedynczej rozmowy telefonicznej nie powoduje ujawnienia kompletu danych do autoryzacji. Znacznie bezpieczniejsze jest użycie tokena lub innego narzędzia dwustopniowego uwierzytelnienia, wtedy prawdopodobieństwo udanego ataku bardzo maleje. Zasada nieujawniania kompletu informacji powinna dotyczyć także rozmów z konsultantem.

Ponieważ najsłabszym ogniwem jest człowiek, instytucje korzystające z IVR powinny zadbać o to, by klienci byli świadomi zagrożenia. Należy regularnie informować klientów zarówno o zmianach w samym menu głosowym, jak i o wszelkich problemach, uczulić na pojawiające się fałszywe informacje, a także wpoić mu najważniejszą z zasad: klient powinien dzwonić tylko na oryginalny numer infolinii, ten z oficjalnych dokumentów instytucji, przy użyciu publicznej telefonii stacjonarnej lub komórkowej. Bardzo dobrą praktyką wielu banków jest rezygnacja z rozsyłania jakichkolwiek wiadomości e-mail dotyczących bezpieczeństwa, a jedynie dołączanie takich informacji do oficjalnych stron.