Komponentit

FBI: rikolliset Automaattinen soittaminen hakkeroitujen VoIP-järjestelmien kanssa

Al ”Scarface” Capone - TLDRDEEP

Al ”Scarface” Capone - TLDRDEEP
Anonim

Rikolliset käyttävät hyväkseen Asteriskin Internet-puhelinjärjestelmään liittyvää vikaa, jonka avulla he voivat pumpata tuhansia huijauspuheluja tunnissa, US Federal Bureau of Investigation varoitti perjantaina.

FBI ei sanonut, mitkä Asterisk-versiot olisivat haavoittuvia virheelle, mutta neuvoivat käyttäjiä päivittämään ohjelmiston uusimpaan versioon. Asterisk on avoimen lähdekoodin tuote, jonka avulla käyttäjät voivat kääntää Linux-tietokoneen VoIP (Voice over Internet Protocol) -puhelinkeskukselle.

Ns. Vishing-hyökkäyksissä huijarit käyttävät yleensä VoIP-järjestelmää väärennetyn puhelukeskuksen perustamiseksi sitten käytä phishing-sähköpostiviestejä huijaamaan uhreja soittamalla keskukseen. Kun he ovat siellä, heitä kehotetaan antamaan yksityisiä tietoja. Mutta FBI: n kuvaamassa huijauksessa he ilmeisesti käyttävät oikeutettuja Asterisk-järjestelmiä, jotta he voivat suoraan kutsua uhreja.

[Lue lisää: Mediasoittimen ja varmuuskopioinnin parhaat NAS-laatikot]

"Asterisk-ohjelmiston aikaisemmat versiot tiedetään olevan haavoittuvuus ", FBI sanoi neuvonantajalla, joka lähetettiin perjantaina Internetin rikoksentekokeskukseen. "Internet-rikolliset voivat hyödyntää haavoittuvuutta käyttämään järjestelmää automaattisena valitsimena, joka tuottaa tuhansia puheluita kuluttajille yhden tunnin kuluessa."

Digiumin kehittämä ohjelmisto on ollut saatavilla jo lähes kymmenen vuoden ajan, ja ohjelmistoon on löydetty useita kriittisiä puutteita. Maaliskuussa Mu Securityin tutkijat ilmoittivat virheestä, jonka avulla hyökkääjä voi ottaa Asterisk-järjestelmän hallintaan.

Digium ei ollut varma, mikä haavoittuvuus FBI viittasi neuvonnassaan. Kuitenkin John Todd, yhtiön Asteriskin avoimen lähdekoodin yhteisöjohtajan, uskoo, että se oli luultavasti maaliskuun bugi. Tämä haavoittuvuus "periaatteessa antoi sinun ottaa yhden henkilön tilille", hän sanoi. "Pahimmassa mahdollisessa tapauksessa voit tehdä tuhansia puheluja tunnissa."

FBI: n kuvaama hyökkäys olisi kuitenkin äärimmäisen vaikeaa vetää pois, Todd sanoi.

Useimmat Asterisk-järjestelmät on suojattu palomuureilla tai muu tietoturvaohjelmisto, ja vaikka vakoojaja voisi käyttää sitä, järjestelmänvalvojat yleensä rajoittavat puhelujen määrää, joita jokin tili voi tehdä samanaikaisesti, hän selitti. "Useimmiten et voi luoda tuhansia puheluja tunnissa."

Tämä virhe vaikuttaa Asteriskin aiempiin versioihin, mutta ei uusimpaan versioon 1.6, hän sanoi.