FBI: Kryminaliści Automatyczne wybieranie numerów za pomocą zhakowanych systemów VoIP

Przestępcy wykorzystują błąd w systemie telefonii internetowej Asterisk, który pozwala im wypompować tysiące oszustw w ciągu godziny, ostrzega Federalne Biuro Śledcze w USA w piątek.

FBI nie powiedział, które wersje Asterisk były podatne na błąd, ale zalecił użytkownikom uaktualnienie do najnowszej wersji oprogramowania. Asterisk jest produktem o otwartym kodzie źródłowym, który pozwala użytkownikom zmienić komputer z Linuksem w centralę telefoniczną VoIP (Voice over Internet Protocol).

W tak zwanych atakach typu "vishing", oszuści zwykle używają systemu VoIP, aby skonfigurować fałszywe centrum telefoniczne i następnie użyj e-maili phishingowych, aby skłonić ofiary do wywołania centrum. Tam są proszeni o podanie prywatnych informacji. Ale w oszustwie opisanym przez FBI najwyraźniej przejmują one legalne systemy Asterisk, aby bezpośrednio wybierać ofiary.

[Więcej informacji: Najlepsze pudełka NAS do strumieniowego przesyłania multimediów i kopii zapasowych]

"Wczesne wersje oprogramowania Asterisk wiadomo, że są podatne na ataki "- powiedział FBI w piątkowym poradniku do internetowego Centrum Zwalczania Zbrodni. "Ta usterka może zostać wykorzystana przez cyberprzestępców do korzystania z systemu jako automatycznego dialera, który w ciągu godziny generuje tysiące połączeń telefonicznych".

Oprogramowanie opracowane przez Digium jest dostępne od prawie dziesięciu lat w oprogramowaniu znaleziono kilka krytycznych błędów. W marcu naukowcy z Mu Security zgłosili błąd, który mógł umożliwić osobie atakującej przejęcie kontroli nad systemem Asterisk.

Digium nie było pewne, na jaką usterkę FBI wskazuje w swoim doradztwie. Jednak John Todd, dyrektor ds. Społeczności open source Asterisk, uważa, że ​​to prawdopodobnie błąd z marca. Ta luka "zasadniczo pozwoliła ci przejąć konto jednej osoby", powiedział. "W najgorszym możliwym przypadku można wykonać tysiące połączeń w ciągu godziny".

Jednak atak opisany przez FBI byłby niezwykle trudny do wykonania, powiedział Todd.

Większość systemów Asterisk jest chronionych przez zapory ogniowe lub innego oprogramowania zabezpieczającego, a nawet jeśli ktoś mógłby się do niego dostać przez wizytę, administratorzy zazwyczaj ograniczają liczbę połączeń, które jedno konto może jednocześnie wykonać, wyjaśnił. "Przez większość czasu nie byłbyś w stanie wytworzyć tysięcy połączeń w ciągu godziny."

Ta usterka dotyczy starszych wersji Asterisk, ale nie najnowszej wersji 1.6, powiedział.