Dịch vụ VoIP dễ bị tổn thương đối với Botnet, các nhà nghiên cứu bảo mật nói rằng

Những sai lầm trong các hệ thống điện thoại dựa trên Internet phổ biến có thể được khai thác để tạo ra một mạng lưới các tài khoản điện thoại bị tấn công, giống như các botnet đang tàn phá các PC trong vài năm qua.

. Các nhà nghiên cứu tại Secure Science gần đây đã phát hiện ra cách thực hiện các cuộc gọi trái phép từ cả Skype và các hệ thống liên lạc Google Voice mới, theo Lance James, người đồng sáng lập của công ty.

Eavesdropping by IP

Kẻ tấn công có thể truy cập vào tài khoản sử dụng các kỹ thuật được phát hiện bởi các nhà nghiên cứu, sau đó sử dụng chương trình PBX chi phí thấp (trao đổi chi nhánh tư nhân) để thực hiện hàng ngàn cuộc gọi qua các tài khoản đó.

Các cuộc gọi sẽ hầu như không thể truy cập được, vì vậy kẻ tấn công có thể thiết lập mess tự động hệ thống lão hóa để thử và ăn cắp thông tin nhạy cảm từ nạn nhân, một cuộc tấn công được gọi là vishing. Các cuộc gọi có thể là một tin nhắn được ghi lại yêu cầu người nhận cập nhật chi tiết tài khoản ngân hàng của họ, ví dụ:

"Nếu tôi lấy cắp [tài khoản Skype], tôi có thể thiết lập [tổng đài] để làm tròn tất cả các số đó và tôi có thể thiết lập một mạng botnet Skype ảo để thực hiện cuộc gọi đi. Nó sẽ là địa ngục trên bánh xe cho một kẻ lừa đảo và nó sẽ là một địa ngục của một cuộc tấn công cho Skype, "James nói.

Trong Google Voice, kẻ tấn công có thể thậm chí đánh chặn hoặc tìm kiếm các cuộc gọi đến, James nói. Để chặn cuộc gọi, kẻ tấn công sẽ sử dụng tính năng gọi là Chuyển tiếp cuộc gọi tạm thời để thêm số khác vào tài khoản, sau đó sử dụng phần mềm miễn phí như Asterisk để trả lời cuộc gọi trước khi nạn nhân nghe thấy tiếng chuông. Bằng cách nhấn biểu tượng ngôi sao, cuộc gọi có thể được chuyển tiếp đến điện thoại của nạn nhân, cho kẻ tấn công biết cách nghe cuộc gọi.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows]

Giả mạo Các nhà nghiên cứu Khoa học an toàn có thể truy cập các tài khoản mà họ đã thiết lập bằng dịch vụ trực tuyến có tên spoofcard, cho phép người dùng xuất hiện như thể họ đang gọi từ bất kỳ số nào họ muốn. trong quá khứ để truy cập tài khoản thư thoại. Nổi tiếng nhất, nó được đổ lỗi khi tài khoản BlackBerry của Lindsay Lohan bị hack ba năm trước và sau đó được sử dụng để gửi tin nhắn không phù hợp.

Các cuộc tấn công trên Google Voice và Skype sử dụng các kỹ thuật khác nhau, nhưng về cơ bản cả hai đều hoạt động. Để truy cập vào hệ thống thư thoại của nó.

Để cuộc tấn công Skype hoạt động, nạn nhân sẽ phải bị lừa khi truy cập vào một trang web độc hại trong vòng 30 phút sau khi đăng nhập vào Skype. Trong cuộc tấn công của Google Voice (pdf), trước tiên hacker cần phải biết số điện thoại của nạn nhân, nhưng Secure Science đã nghĩ ra cách tìm hiểu bằng cách sử dụng Dịch vụ tin nhắn ngắn (SMS) của Google Voice.

Lỗi địa chỉ Google

Google vá các lỗi đã kích hoạt tấn công của Science Science tuần trước và đã thêm yêu cầu mật khẩu vào hệ thống thư thoại của mình, công ty cho biết trong một tuyên bố. "Chúng tôi đã phối hợp với Khoa học an toàn để giải quyết các vấn đề mà họ đã nêu ra với Google Voice và chúng tôi đã thực hiện một số cải tiến cho hệ thống của mình", công ty cho biết. "Chúng tôi chưa nhận được bất kỳ báo cáo nào về bất kỳ tài khoản nào được truy cập theo cách được mô tả trong báo cáo và việc truy cập đó sẽ yêu cầu một số điều kiện để được đáp ứng đồng thời."

Các lỗi của Skype chưa được vá.. EBay, công ty mẹ của Skype, đã không phản ứng ngay lập tức với một yêu cầu bình luận.

Các cuộc tấn công cho thấy sẽ phức tạp như thế nào để tích hợp hệ thống điện thoại cũ vào thế giới tự do hơn của Internet. "Đây là loại chứng minh … VoIP dễ dàng như thế nào là để vít lên," ông nói. Ông tin rằng những sai sót này gần như chắc chắn cũng ảnh hưởng đến các hệ thống VoIP khác. "Có những người ngoài kia có thể tìm ra cách chạm vào đường dây điện thoại của bạn."