Förvrängning av telefonnummer – Ett verktyg inom Social Engineering

Litar du på din mobiltelefons nummerpresentatör?

Tänk dig följande scenario. Din telefon ringer och namnet som visas är din chefs. Problemet är bara det att din chef sitter bredvid dig i ett mötesrum och pratar redan i sin telefon – och det är inte med dig. Det är en tredje part som har imiterat din chefs telefonnummer.

I vilket syfte vill någon imitera ett telefonnummer?

Utifrån egen erfarenhet, när vi ringer måltavlor under ett uppdrag, är det större sannolikhet att måltavlan svarar och är öppen för en dialog när vi kontaktar dem från ett telefonnummer de känner igen. Således väljer vi att imitera företagets egna växeltelefonnummer. Måltavlan tror att det är en intern person som ringer. Därmed har vi lyckats bygga upp tillit med måltavlan redan innan denne ens svarat på telefonsamtalet.

Syftet med att imitera telefonnumret är att öka sannolikheten att en måltavla ska klicka på en skadlig länk i ett email som skickas ut i samband med eller efter det initiala telefonsamtalet, vilket sker under vishingdelen av uppdraget. Målet med att ta kontakt över telefon är att utnyttja psykologiska sårbarheter hos måltavlan, i syfte att få personen att agera så som vi vill.

Angreppssättet är vanligt förekommande bland angripare och går under namnet Caller ID Spoofing.

Att förvränga ett telefonnummer är en förvånansvärt simpel teknik

Den generella uppfattningen är att modern telefoni är skyddat mot denna sortens hot. Så är inte fallet. En angripare behöver endast upprätta två tjänster, en privat telefonväxel (Private Branch Exchange, PBX) och en IP-telefonitjänst (Voice Over Internet Protocol, VoIP).

En så kallad ”Trunk” sköter kommunikationen mellan publika telenät (Public switched telephone networks, PSTN) och IP-telefoni. Trunken hanteras av IP-telefonileverantören medan den privata telefonväxeln kan förvaltas av angriparen själv.

Angriparen ringer via IP-telefoni där samtalet dirigeras till Trunken, som i sin tur dirigerar samtalet vidare till telenätet. Kommunikationen mellan Trunken och telenätet nyttjar protokoll, så som SIP. Protokollen är konfigurerbara och därmed går det att ändra telefonnumret.

Trunken litar blint på att den privata telefonväxeln uppger det korrekta telefonnumret, utan att kontrollera närmare. Det publika nätverket litar på Trunken, och måltavlans mobiltelefon litar på det publika telenätet.

Hur vet du vem som ringer?

Caller ID Spoofing används som ett verktyg inom Social Engineering och manipulerar telefonnumret som visas i displayen på din mobiltelefon. Kommer du att lita på nästa röst du hör på andra sidan telefonen?

I kommande inlägg kommer du att kunna läsa om hur vi lyckades manipulera en måltavla till att tillhandahålla sin autentiseringskod till oss, delvis genom att vi använde imitering av företagets växeltelefonnummer. Vidare kommer du kunna läsa om falsk trygghet med multifaktor autentisering (MFA).

Inlägget har belyst Caller ID spoofing, vishing, phishing, manipulation, angreppssätt, privat telefonväxel och IP-telefonitjänst.

Stort tack till min kollega Martin Tschammer för sin detaljkunskap i tekniken bakom Caller ID Spoofing.