How-to: Vishing y sus aplicaciones

Este post surge a raíz del aviso de Mark Collier en su blog donde anuncia que la Communications Fraud Control Association (CFCA) ha publicado un report sobre un ataque de voice phishing (vishing) en el área de Salt Lake City. Los atacantes estaban haciendo llamadas a clientes aleatorios con mensajes que les avisaban que sus tarjetas de débito estaban canceladas. Los mensajes incluyen un número donde llamar, el cual reproduce una serie de mensajes con la finalidad de obtener información personal.

Es posible obtener más información de este ataque en el foro de la CFCA.

Tal como cuenta Mark, no se sabe si se ha usado la VoIP para generar los mensajes o responder las cuestiones, pero probablemente así sea.

El motivo de que la VoIP esté (muy probablemente) detrás de estos ataques es el hecho de que facilita el ataque, lo hace económico y nos ofrece gran cantidad de mecanismos para llevar a cabo este tipo de fechorías.

Así que sin más preámbulos aquí tenéis una pequeña receta (sin entrar en excesivos detalles) para realizar esto de una forma sencilla, cada cuál que haga lo que quiera con la información que aquí se expone aunque no aconsejo para nada ponerlo en funcionamiento con finalidades maliciosas. Los ingredientes necesarios serán: Asterisk PBX, auto dial-out, grabación de llamadas.

En cuanto al primero, no vamos a profundizar en absoluto. Podemos descargar Asterisk de la red, y también en la red encontraremos multitud de documentos sobre como ponerlo en marcha y configurarlo. Probablemente muchos de los lectores ya tienen uno funcionando.

En cuanto a como conseguir que Asterisk llame automáticamente y reproduzca un mensaje, tenemos varias formas de hacerlo:

  • Usar ficheros .call, son ficheros de texto que cuando los colocamos en el directorio correcto hacen que Asterisk genere una llamada saliente.
  • Utilizar la API del manager para activar una llamada. Asterisk manager dialout.
  • Utilizar el comando originate en el CLI de Asterisk.
  • El comando FollowMe en Asterisk 1.4 también puede usarse para generar llamadas salientes.
  • En Asterisk 1.6 también tenemos la aplicación originate.

Por su simplicidad me quedo con la primera de ellas (ficheros .call), ahora vamos a crear nuestro pequeño script en bash que vaya leyendo una lista de números de teléfono a partir de, por ejemplo, un fichero ASCII, aunque podría ser una BBDD, una web online, ...

Para cada entrada de la lista nuestro script debe crear un fichero .call con la siguiente información:

Channel: SIP/(trunk)/(called_number)
Application: Playback
Data: callmehack

Donde debemos reemplazar (trunk) por la troncal SIP que queremos usar para realizar las llamadas y (called_number) por el número de teléfono de nuestra víctima que hemos obtenido previamente de la lista.
Luego colocamos este fichero .call que hemos creado en el directorio /var/spool/asterisk/outgoing (o lo que tengamos configurado en astspooldir dentro del archivo /etc/asterisk/asterisk.conf).

Y así que continúe el bucle para hacer el máximo de daño posible.

No debemos olvidarnos de crear el fichero de audio callmehack en formato wav, gsm o cualquiera que Asterisk reconozca y colocarlo en el directorio /var/lib/asterisk/sounds

En el fichero de audio podemos grabar un mensaje del tipo: "Su tarjeta ha sido bloqueada por motivos de seguridad, por favor llame cuanto antes al 666-666-666 para volver a activarla".

Con esto ya tenemos solucionada la primera parte de nuestro malicioso plan.

Ahora falta configurar Asterisk para que atienda las llamadas de los incautos clientes dispuestos a darnos toda la información que les solicitemos en el número 666-666-666.

Para ello activaremos la grabación de llamadas para que todo lo que nos cuenten quede registrado en /var/lib/asterisk/recordings

Luego crearemos un IVR sencillo con Asterisk, o también podemos usar un AGI para crear un IVR que vaya guardando los tonos DTMF que marca el usuario en una base de datos.
Así que descolgamos la llamada y la víctima accede al siguiente IVR, el esquema sería parecido a este:

Reproducir: "Bienvenido a banco pirata. Por favor diganos su nombre y apellido, dirección postal, el nombre de su gato, ..."
Grabar: "Pues mire. Me llamo Imprudencio Pococauto, vivo en calle malasuerte 25 y mi gato se llama Misifú"
Reproducir: "Para volver a activar su tarjeta, debe proporcionarnos la siguiente información. Para ello use el teclado de su teléfono"
Reproducir: "Teclee los 16 dígitos correspondientes al número de su tarjeta, los encontrará en la parte frontal de la misma"
Recoger DTMF y almacenar DTMF (Aquí también podemos reproducir un mensaje para asegurarnos que el número marcado es correcto y dar la opción de volver a introducirlo en caso de error)
Reproducir: "Introduzca la fecha de caducidad que también encontrará en la parte frontal. Teclee los 4 digitos que corresponden a mes y año"
Recoger DTMF y almacenar DTMF
Reproducir: "Finalmente introduzca los 3 dígitos correspondientes al código de seguridad que encontrará en la parte posterior de la tarjeta"
Recoger DTMF y almacenar DTMF
Reproducir: "Muchas gracias por la información. Su tarjeta ya está activada y en breve empezará a recibir cargos 'a mansalva' para asegurarnos que está activada"
Reproducir: "Le aconsejamos que vaya a su banco y la desactive lo antes posible" (esta última parte es opcional)

Divertido, no? Guiño

URL para hacer trackback a este post:

http://bytecoders.net/trackback/828
 

Comentarios

Poderoso caballero ...

Juas juas !!! Risa

Maestro Bytecoders, ahora entiendo de dónde han salido todos esos ferraris aparcados a la puerta de tu enorme nueva mansión ... Trabajando sin descanso eh!

Un saludo