Man
Professional
- Messages
- 3,218
- Reaction score
- 783
- Points
- 113
Спуфинг звонков (подмена номера) — это техника, при которой злоумышленник изменяет информацию о вызывающем абоненте (Caller ID), чтобы скрыть свой реальный номер или выдать себя за другое лицо (например, сотрудника банка, государственного органа или знакомого). Это незаконная практика, часто используемая в мошеннических схемах (например, голосовом фишинге или краже данных). Ниже описаны технические принципы работы спуфинга для образовательных целей, чтобы вы понимали риски и могли защититься.
Пример SIP-запроса:
1. Что такое SIP?
SIP — это протокол сигнализации, используемый для установления и управления сессиями связи в VoIP-сетях. Он работает по модели клиент-сервер и использует текстовые сообщения (похожие на HTTP) для:- Регистрации устройств в сети.
- Установления и завершения вызовов.
- Передачи информации о параметрах сессии (например, кодеках аудио/видео).
Пример SIP-запроса:
HTTP:
INVITE sip:user@example.com SIP/2.0
Via: SIP/2.0/UDP 192.168.1.100:5060
From: <sip:caller@example.com>
To: <sip:callee@example.com>
Call-ID: 1234567890@example.com
CSeq: 1 INVITE
Content-Type: application/sdp
Content-Length: 142
v=0
o=caller 2890844526 2890844526 IN IP4 192.168.1.100
s=-
c=IN IP4 192.168.1.100
t=0 0
m=audio 49170 RTP/AVP 0
a=rtpmap:0 PCMU/8000
2. Как работает спуфинг звонков?
Техническая основа
Современные звонки передаются через VoIP (Voice over IP) или традиционные телефонные сети (включая SS7). Информация о Caller ID (номере и имени абонента) передается отдельно от голосового сигнала, что позволяет её модифицировать. Основные методы:A. Изменение SIP-заголовков (VoIP)
- SIP (Session Initiation Protocol) управляет установлением VoIP-вызовов. Злоумышленник может подделать поля в SIP-запросах:
- From: Имя и номер отправителя.
- P-Asserted-Identity (PAI): Аутентифицированный идентификатор вызывающего.
- Remote-Party-ID (RPID): Дополнительная информация о вызывающем.
- Пример:
HTTP:INVITE sip:user@example.com SIP/2.0 From: <sip:+18005551234@example.com> To: <sip:target@example.com>
B. Использование VoIP-сервисов с поддержкой спуфинга
- Некоторые легальные сервисы позволяют указывать произвольный Caller ID для корпоративных нужд (например, для отображения единого номера компании). Злоумышленники злоупотребляют этим:
- SpoofCard (https://www.spoofcard.com): Отправка звонков с поддельным номером.
- Burner (https://www.burnerapp.com): Временные номера для анонимных звонков.
- TextNow (https://www.textnow.com): Бесплатные звонки с возможностью изменения Caller ID.
C. Инструменты для программного спуфинга
- SIPVicious (https://www.sipcrack.org): Инструмент для тестирования уязвимостей VoIP-сетей, включая изменение Caller ID.
- Asterisk (https://www.asterisk.org): Открытая PBX-система, которую злоумышленники могут настроить для подделки звонков.
- Wireshark + SIP-запросы: Ручное изменение полей в SIP-пакетах для манипуляции Caller ID.
D. Манипуляции с SS7 (для мобильных сетей)
- В традиционных мобильных сетях злоумышленник может использовать уязвимости протокола SS7 для изменения данных о номере отправителя. Например:
- Отправка команды MAP_SEND_ROUTING_INFORMATION для перенаправления вызовов.
- Использование инструментов вроде SS7 MAP Explorer для изменения параметров сети.
F. Голосовые шаблоны и ИИ
- Современные ИИ-модели (например, Google Duplex) могут генерировать естественную речь, делая звонки более убедительными. Злоумышленник может комбинировать спуфинг Caller ID с синтезом голоса, чтобы имитировать сотрудников банка или друзей жертвы.
3. Примеры реальных атак
Пример 1: Мошенничество с налоговой инспекцией
- Злоумышленник отправляет звонок с Caller ID, отображающим номер налоговой службы.
- Представляясь инспектором, он утверждает, что жертва задолжала налоги, и угрожает арестом, если не переведет деньги немедленно.
Пример 2: Атака на клиентов криптобирж
- Злоумышленник звонит владельцу криптокошелька с номера, подделанного под службу поддержки Binance.
- Убеждает жертву отправить код 2FA для "подтверждения безопасности", после чего выводит криптовалюту на свой кошелек.
Пример 3: Корпоративный спуфинг
- Злоумышленник звонит сотруднику компании, представляясь директором.
- Используя поддельный номер внутренней линии, он просит срочно перевести деньги на "партнерский счет", ссылаясь на срочный проект.
4. Почему спуфинг звонков опасен?
- Доверие к Caller ID:
Люди склонны доверять номеру, особенно если он совпадает с официальным. - Психологическое давление:
Атакующий использует страх (например, угрозы ареста) или срочность, чтобы жертва не успела проверить информацию. - Сложность отслеживания:
VoIP-сервисы и анонимные номера затрудняют установление личности злоумышленника. - Комбинация с другими атаками:
Спуфинг часто сочетается с vishing, фишингом SMS или SS7-атаками для повышения эффективности.
5. Как защититься от спуфинга звонков?
A. Не доверяйте Caller ID
- Даже если номер выглядит официальным, не передавайте данные по телефону.
- Перезвоните по официальному номеру, указанному на сайте компании или чеке.
B. Проверяйте подлинность
- Спросите у звонящего его имя, должность и отдел.
- Сообщите, что перезвоните позже, чтобы проверить информацию.
C. Используйте безопасные методы аутентификации
- Откажитесь от SMS-кодов в пользу аппаратных токенов (например, YubiKey) или приложений-аутентификаторов (Google Authenticator).
- Настройте двухфакторную аутентификацию с использованием биометрии или безопасных ключей.
D. Установите Call Blocking Tools
- Используйте приложения для блокировки спама:
- Truecaller (Android/iOS) — определяет подозрительные номера.
- RoboKiller — блокирует автообзвон и спам.
E. Обучение и осведомленность
- Расскажите близким (особенно пожилым) о рисках спуфинга.
- В компаниях проводите тренинги по социальной инженерии (например, симуляции атак).
F. Используйте STIR/SHAKEN
- Эти стандарты аутентификации вызовов (внедрены в некоторых странах) шифруют данные Caller ID, чтобы предотвратить их подделку.
- Уточните у своего оператора связи, поддерживает ли он STIR/SHAKEN.
6. Юридические последствия
Спуфинг звонков нарушает законы многих стран:- США: Truth in Caller ID Act (штрафы до $10 000 за нарушение).
- Россия: Статья 138 УК РФ (неправомерный доступ к компьютерной информации) и статья 159 (мошенничество).
- ЕС: GDPR (неправомерный сбор персональных данных, штрафы до 20 млн евро).
7. Образовательные ресурсы
Если вы хотите изучать защиту от спуфинга и других атак:- Книги: "The Art of Deception" (Kevin Mitnick), "Hacking Exposed 7" (McGraw-Hill).
- Платформы: TryHackMe (курсы по социальной инженерии), OWASP.
- Сертификации:
- Certified Ethical Hacker (CEH) — анализ методов социальной инженерии.
- CISSP — защита от киберугроз.
Итог
Спуфинг звонков — это мощный инструмент социальной инженерии, который может быть использован как для атак, так и для защиты. Никогда не пытайтесь использовать эти методы в реальности — это незаконно и опасно. Вместо этого сосредоточьтесь на защите своих данных и обучении окружающих. Если вас интересуют практические примеры или код для обучения — дайте знать!
Last edited by a moderator: