Услуги VoIP уязвимы для ботнетов, говорят исследователи безопасности

Недостатки в популярных интернет-системах телефонии могут быть использованы для создания сети взломанных учетных записей телефона, что несколько напоминает бот-сети, которые на протяжении последних нескольких лет наносят ущерб ПК.

Исследователи из Secure Science недавно обнаружили способы совершать несанкционированные звонки как из Skype, так и из новых систем связи Google Voice, по словам Лэнса Джеймса, соучредителя компании.

Подслушивание по IP

Злоумышленник может получить доступ к учетным записям, используя методы, обнаруженные исследователями, затем используют недорогую программу PBX (private branch exchange), чтобы совершать тысячи вызовов через эти учетные записи.

Звонки будут практически не отслеживаться, поэтому злоумышленники могут настроить автоматический беспорядок стареющие системы, чтобы попытаться украсть конфиденциальную информацию от жертв, атаку, известную как «жажда». Вызовы могут быть записанным сообщением с просьбой, чтобы получатель обновил данные своего банковского счета, например.

«Если я украду кучу [учетных записей Skype], я могу настроить [УАТС] для округления всех этих номеров, и я могу настроить виртуальный Skype-бот-сеть, чтобы делать исходящие звонки. Это было бы ад на колесах для фишера, и это было бы адской атакой для Skype », - сказал Джеймс.

В Google Voice злоумышленник мог Джеймс сказал, что даже перехватывает или отслеживает входящие звонки. Чтобы перехватить вызов, злоумышленник будет использовать функцию «Временная переадресация вызовов» для добавления другого номера в учетную запись, а затем использовать бесплатное программное обеспечение, такое как Asterisk, для ответа на вызов до того, как жертва когда-либо услышала звонок. После нажатия символа звезды звонок затем может быть отправлен на телефон жертвы, что дает злоумышленнику способ прослушивания вызова.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Spoofing Источник звонка

Исследователи Secure Science смогли получить доступ к учетным записям, которые они создали с помощью онлайн-сервиса под названием spoofcard, что позволяет пользователям делать так, как будто они звонят из любого числа, которое они хотят.

Использована Spoofcard в прошлом для доступа к учетным записям голосовой почты. Самое знаменитое, это обвиняли, когда актерская актриса Линдсей Лохан на BlackBerry была взломана три года назад, а затем использовала для отправки неприемлемых сообщений.

Атаки на Google Voice и Skype используют разные методы, но по сути они оба работают, потому что ни одна из служб не требует пароля для доступа к своей системе голосовой почты.

Чтобы атаковать Skype, жертву нужно будет обмануть в посещении вредоносного веб-сайта в течение 30 минут после входа в Skype. В атаке Google Voice (pdf) хакеру сначала необходимо узнать номер телефона жертвы, но Secure Science разработала способ выяснить это с помощью службы коротких сообщений Google Voice (SMS).

Ошибки Google Адреса

Google исправил ошибки, которые активировали атаку Secure Science на прошлой неделе, и добавил пароль в свою систему голосовой почты, говорится в заявлении компании. «Мы работаем в координации с Secure Science для решения вопросов, которые они подняли с помощью Google Voice, и мы уже сделали несколько усовершенствований для наших систем», - сказали в компании. «Мы не получили никаких отчетов о каких-либо учетных записях, которые были описаны в отчете, и такой доступ потребует одновременного выполнения нескольких условий».

Ошибки в Skype еще не были исправлены, по словам Джеймса, EBay, материнская компания Skype, не сразу ответила на запрос о комментариях.

Атаки показывают, насколько сложно будет надежно интегрировать телефонную систему старой школы в более свободный мир в Интернете, сказал Джеймс. «Этот тип доказывает … насколько легкий VoIP должен испортить», - сказал он. Он считает, что эти недостатки почти наверняка влияют на другие системы VoIP. «Есть люди, которые могут понять, как использовать ваши телефонные линии».