VoIP usluge su ranjive na botnetima, istraživači sigurnosti kažu

Nedostaci u popularnim internetskim telefonskim sustavima mogu se iskoristiti za stvaranje mreže hakiranih telefonskih računa, nešto poput botneta koje su posljednjih nekoliko godina izazivale pustošenje računalima.

Istraživači Secure Sciencea nedavno su otkrili načine neovlaštenih poziva s Skypea i novih komunikacijskih sustava Google Voicea, tvrdi Lance James, cofonder tvrtke.

prisluškivanje IP-a

Napadač može pristupiti računima pomoću tehnike otkrivene od strane istraživača, a zatim koristite program s malim troškovima PBX-a (private branch exchange) da biste izvršili tisuće poziva putem tih računa.

Pozivi bi bili gotovo nevidljivi pa napadači mogu postaviti automatizirani nered starenja kako bi pokušali ukrasti osjetljive podatke od žrtava, napad koji se zove vishing. Pozivi mogu biti zabilježena poruka koja traži od primatelja ažuriranje podataka o bankovnom računu, na primjer.

"Ako ukrasti hrpu [Skype računa], mogu postaviti [PBX] zaokružiti sve one brojeve, a mogu postaviti virtualni Skype botnet kako bi se uspostavili izlazni pozivi, bilo bi pakao na kotačima za phisera i to bi bilo pakao napada za Skype ", rekao je James.

U Google Voiceu napadač bi mogao čak i presresti ili njuškati na dolazne pozive, rekao je James. Za prekid poziva, napadač će koristiti značajku Privremeni prosljeđivanje poziva za dodavanje drugog broja na račun, a zatim koristiti besplatni softver kao što je Asterisk da biste odgovorili na poziv prije nego što je žrtva ikada čula prsten. Pritiskom na simbol zvijezde, poziv se zatim može proslijediti žrtvinom telefonu, dajući napadaču način slušanja poziva.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Razglas Izvor poziva

Znanstvenici sa sigurnim znanjem uspjeli su pristupiti računima koje su postavili pomoću internetske usluge pod nazivom "spoofcard", koja korisnicima omogućuje da ga čine kao da pozivaju s bilo kojeg broja koji žele.

Spoofcard je korišten u prošlosti za pristup računima govorne pošte. Najslavnije je bilo optuženo kada je BlackBerry račun Lindsay Lohan bio sjeckan prije tri godine, a zatim se slanjao neprikladnim porukama.

Napadi na Google Voice i Skype koriste različite tehnike, ali u biti oboje rade jer niti jedna usluga ne zahtijeva lozinku za pristup svom govornom sustavu.

Za Skype napad na posao, žrtva bi trebala biti prevarant u posjeti zlonamjernu web stranicu u roku od 30 minuta od prijave u Skype. U napadu Google Voicea (pdf), haker bi prvo trebao znati telefonski broj žrtve, ali Secure Science je osmislio način da to shvati pomoću usluge Google Voice za kratke poruke (SMS).

Nedostatke Googleovih adresa

Google je zakazao bugove koji su prošli tjedan omogućili napad Secure Science i dodao zahtjev za lozinkom u svom govornom sustavu, navodi se u priopćenju tvrtke. "Radili smo u koordinaciji s Secure Scienceom kako bismo riješili probleme koje su podigli sa Google Voiceom, a već smo izvršili nekoliko poboljšanja našim sustavima", rekla je tvrtka. "Nismo primili nikakva izvješća o pristupanju računa na način opisan u izvješću, a takav pristup bi zahtijevao niz uvjeta koje treba ispuniti istodobno."

Skypeovi nedostaci još nisu zakrčeni, prema Jamesu, EBay, nadređena tvrtka Skype, nije odmah odgovorila na zahtjev za komentar.

Napadi pokazuju koliko je teško za sigurno integriranje starog školskog telefonskog sustava u svijet slobodnog kretanja na Internetu, rekao je James. "Ova vrsta dokazuje … kako je lako VoIP zezati", rekao je. On vjeruje da ove vrste nedostataka gotovo sigurno utječu i na druge VoIP sustave. "Postoje ljudi koji mogu otkriti kako dodirivati ​​telefonske linije."