安全厂商Trusteer的研究人员发现了一个能够满足网络犯罪分子要求的专业电话服务。这项服务可以提取进行银行诈骗、窃取个人身份所需要的各种敏感信息。

　　这家安全公司发现了一则广告，声称可以用英语或其他欧洲语言为个人、银行、商店、邮局和类似机构按需定制电话服务。网络犯罪分子以每个电话10美元的价格便可获得他们实施攻击所需要的信息。

　　Trusteer首席技术官艾米特·克莱因(Amit Klein)说，诈骗分子或者使用恶意软件窃取个人信息和财务信息，也可以从黑市批量购买此类信息。但是他也说，此类信息有时候还不足以实施诈骗。

　　网络犯罪分子一般都会遇到这样的问题，因为大量金融机构都采取了高级的反诈骗机制。例如很多银行要求使用一次性口令在其网站上识别客户身份。有些银行要求向移动设备发送唯一的代码才能进行授权交易。

　　从某个目标对象身上获取信息的最容易方法就是社会工程学，也就是说服某人提供信息。然而，并非每一个网络犯罪分子都擅长这种技术。那些能够实施攻击的网络犯罪分子经常会面临语言障碍。

　　于是就出现了Trusteer所发现的这种专业电话服务。提供这种服务的工作人员经培训后可冒充银行雇员、计算机技术人员、旅游代理、招聘者和其他目标人群可能向其泄露信息的人员。

　　这些打电话者从网络犯罪分子那里获得有关目标对象的背景信息，并利用这些信息与受害者建立信任关系。

　　例如，诈骗分子想利用窃取来的在线银行证书登录一个账户，但是，该账户会出现提示，要求输入一个一次性口令，因为该诈骗分子与真正的账户持有者的IP地址不同。这时候他便可以冒充银行职员获得所需要的信息。

　　拥有受害者的名字、账户号码、生日和其他个人信息之后，打电话者就可以说他正在进行系统检查并且要求目标对象复述发送到他们手机中的代码。

　　非法的电话服务并不是新的东西。2010年9月，一个名为Dmitry M. Naskovets的26岁的白俄罗斯男子被引渡到美国面临经营CallService.biz业务的指控。这个服务能够让网络犯罪分子绕过美国银行强制执行的电话验证检查。然而，最近几年，这种假冒电话中心的数量一直在增加。

　　安全公司报告称，英国、加拿大、美国、澳大利亚和其他国家都有这种电话推销的活动。在这些活动中，打电话者假冒互联网服务提供商或者微软的计算机技术人员，欺骗人们在计算机中安装恶意软件。有些阴谋活动可以追踪到印度，因为印度的劳动成本较低，这种业务是非常赚钱的。

　　Trusteer安全研究人员Ayelet Heyman说，在本文的案例中，广告是在一个俄罗斯的论坛上看到的。因此，该项服务很可能是一些说英语的俄罗斯人经营的。此外，由于该项服务可以在美国和欧洲的工作时间提供，表明这个组织是在这些地区工作的。

　　据Heyman说，该项服务现在仍在运营。Trusteer不知道采取什么类型的措施能够关闭这一服务。还有一种可能性，就是支持该服务的人正在利用被攻破的电话系统转接电话以便降低运营成本。

　　Klein告诫说，用户应该谨慎对待身份不明的电话，无论电话的另一端要求得到什么信息。用户还应该向打电话者声称，他所代表的机构可证实任何可疑的请求。不过，用户应该使用公开列出的电话号码打电话，而不要用打电话者提供的电话号码。