An adversary targets users with a phishing attack for the purpose of soliciting account passwords or sensitive information from the user. Voice Phishing is a variation of the Phishing social engineering technique where the attack is initiated via a voice call, rather than email. The user is enticed to provide sensitive information by the adversary, who masquerades as a legitimate employee of the alleged organization. Voice Phishing attacks deviate from standard Phishing attacks, in that a user doesn't typically interact with a compromised website to provide sensitive information and instead provides this information verbally. Voice Phishing attacks can also be initiated by either the adversary in the form of a \'cold call\' or by the victim if calling an illegitimate telephone number.
Description
Attack Execution Flow
Step 1
Explore[Obtain domain name and certificate to spoof legitimate site] This optional step can be used to help the adversary impersonate the legitimate organization more convincingly. The adversary can use homograph or similar attacks to convince users that they are using the legitimate website. If the adversary leverages cold-calling for this attack, this step is skipped.
Optionally obtain a domain name that visually looks similar to the legitimate organization's domain name. An example is www.paypaI.com vs. www.paypal.com (the first one contains a capital i, instead of a lower case L)
Optionally obtain a legitimate SSL certificate for the new domain name.
[Ottenere nome di dominio e certificato per impersonare un sito legittimo] Questo passaggio opzionale può essere utilizzato per aiutare l'advantage a impersonare l'organizzazione legittima in modo più convincente. L'advantage può utilizzare attacchi di omografia o simili per convincere gli utenti che stanno utilizzando il sito web legittimo. Se l'advantage sfrutta il cold-calling per questo attacco, questo passaggio viene saltato.
Facoltativamente, ottenere un nome di dominio che visivamente assomigli a quello dell'organizzazione legittima. Un esempio è www.paypaI.com vs. www.paypal.com (il primo contiene una i maiuscola, invece di una L minuscola)
Facoltativamente, ottenere un certificato SSL legittimo per il nuovo nome di dominio.
Attack Techniques
-
Optionally obtain a domain name that visually looks similar to the legitimate organization's domain name. An example is www.paypaI.com vs. www.paypal.com (the first one contains a capital i, instead of a lower case L)
-
Optionally obtain a legitimate SSL certificate for the new domain name.IT: Opzionalmente, ottieni un nome di dominio che visivamente assomigli a quello dell'organizzazione legittima. Un esempio è www.paypaI.com vs. www.paypal.com (il primo contiene una i maiuscola, invece di una L minuscola)
Step 2
Explore[Explore legitimate website and create duplicate] An adversary optionally creates a website (optionally at a URL that looks similar to the original URL) that closely resembles the organization's website that they are trying to impersonate. That website will contain a telephone number for the victim to call to assist them with their issue and initiate the attack. If the adversary leverages cold-calling for this attack, this step is skipped.
Use spidering software to get copy of web pages on legitimate site.
Manually save copies of required web pages from legitimate site.
Create new web pages that have the legitimate site's look and feel, but contain completely new content.
[Esplora sito web legittimo e crea una copia duplicata] Un adversario crea opzionalmente un sito web (opzionalmente a un URL che assomiglia al URL originale) che somiglia molto al sito web dell'organizzazione che sta cercando di impersonare. Quel sito conterrà un numero di telefono al quale la vittima può chiamare per ricevere assistenza con il proprio problema e avviare l'attacco. Se l'adversario utilizza il cold-calling per questo attacco, questo passaggio viene saltato.
Utilizza software di spidering per ottenere una copia delle pagine web del sito legittimo.
Salva manualmente copie delle pagine web necessarie dal sito legittimo.
Crea nuove pagine web che abbiano l'aspetto e la feeling del sito legittimo, ma contengano contenuti completamente nuovi.
Attack Techniques
-
Use spidering software to get copy of web pages on legitimate site.
-
Manually save copies of required web pages from legitimate site.IT: Utilizzare software di spidering per ottenere una copia delle pagine web di un sito legittimo.
-
Create new web pages that have the legitimate site's look and feel, but contain completely new content.IT: Utilizzare software di spidering per ottenere una copia delle pagine web di un sito legittimo.
Step 3
Exploit[Convince user to provide sensitive information to the adversary.] An adversary 'cold calls' the victim or receives a call from the victim via the malicious site and provides a call-to-action, in order to persuade the user into providing sensitive details to the adversary (e.g. login credentials, bank account information, etc.). The key is to get the victim to believe that the individual they are talking to is from a legitimate entity with which the victim does business and that the call is occurring for legitimate reasons. A call-to-action will usually need to sound legitimate and urgent enough to prompt action from the user.
Call the user a from a spoofed legitimate-looking telephone number.
[Convince l'utente a fornire informazioni sensibili all'avversario.] Un avversario "chiama a freddo" la vittima o riceve una chiamata dalla vittima tramite il sito malevolo e fornisce una call-to-action, al fine di persuadere l'utente a fornire dettagli sensibili all'avversario (ad esempio credenziali di accesso, informazioni sul conto bancario, ecc.). La chiave è far credere alla vittima che la persona con cui sta parlando sia di un'entità legittima con cui ha rapporti commerciali e che la chiamata avviene per motivi legittimi. Una call-to-action dovrà di solito sembrare legittima e abbastanza urgente da indurre l'utente ad agire.
Chiamare l'utente da un numero di telefono spoofato che sembra legittimo.
Attack Techniques
-
Call the user a from a spoofed legitimate-looking telephone number.
Step 4
Exploit[Use stolen information] Once the adversary obtains the sensitive information, this information can be leveraged to log into the victim's bank account and transfer money to an account of their choice, or to make fraudulent purchases with stolen credit card information.
Login to the legitimate site using another the victim's supplied credentials
[Utilizzo di informazioni rubate] Una volta che l'avversario ottiene le informazioni sensibili, queste possono essere sfruttate per accedere al conto bancario della vittima e trasferire denaro su un conto a loro scelta, oppure per effettuare acquisti fraudolenti con informazioni di carte di credito rubate.
Accedere al sito legittimo utilizzando le credenziali fornite dalla vittima.
Attack Techniques
-
Login to the legitimate site using another the victim's supplied credentials