Komponenten

FBI: Criminals Auto-Dialing mit gehackten VoIP-Systemen

Kriminelle nutzen einen Fehler im Asterisk-Internet-Telefoniesystem, mit dem sie in einer Stunde Tausende von Betrugsanrufen abwickeln können, warnte das US Federal Bureau of Investigation am Freitag.

Das FBI Ich habe nicht gesagt, welche Versionen von Asterisk anfällig für den Fehler waren, aber ich rate Benutzern, auf die neueste Version der Software zu aktualisieren. Asterisk ist ein Open-Source-Produkt, mit dem Benutzer einen Linux-Computer in eine VoIP-Telefonzentrale (Voice over Internet Protocol) verwandeln können.

Bei sogenannten Visiting-Angriffen verwenden Betrüger in der Regel ein VoIP-System, um ein gefälschtes Call Center einzurichten Verwenden Sie dann Phishing-E-Mails, um Opfer dazu zu bringen, das Zentrum anzurufen. Dort werden sie aufgefordert, private Informationen zu geben. Aber in dem vom FBI beschriebenen Betrug übernehmen sie anscheinend legitime Asterisk-Systeme, um Opfer direkt anwählen zu können.

[Weiterführende Literatur: Beste NAS-Boxen für Media-Streaming und Backup]

"Frühere Versionen der Asterisk-Software Es ist bekannt, dass eine Sicherheitslücke besteht ", sagte das FBI in einem am Freitag veröffentlichten Bericht an das Internet Crime Complaint Center. "Die Sicherheitslücke kann von Cyber-Kriminellen ausgenutzt werden, um das System als Autodialer zu nutzen und innerhalb einer Stunde Tausende von Telefonanrufen zu generieren."

Die von Digium entwickelte Software ist seit fast einem Jahrzehnt verfügbar Eine Reihe von kritischen Fehlern wurde in der Software gefunden. Im März meldeten Forscher von Mu Security einen Fehler, der es einem Angreifer ermöglichen könnte, die Kontrolle über ein Asterisk-System zu übernehmen.

Digium war sich nicht sicher, auf welche Schwachstelle das FBI in seinem Advisory hinwies. John Todd, der Open-Source-Community-Direktor von Asterisk, glaubt jedoch, dass es sich wahrscheinlich um diesen Bug vom März handelte. Diese Schwachstelle habe es "grundsätzlich ermöglicht, das Konto eines einzelnen zu übernehmen", sagte er. "Im schlimmsten Fall könnten Sie in einer Stunde Tausende von Anrufen machen."
Allerdings wäre der vom FBI beschriebene Angriff äußerst schwierig, sagte Todd.
Die meisten Asterisk-Systeme sind durch Firewalls geschützt oder andere Sicherheitssoftware und selbst wenn man mit einem Visher darauf zugreifen könnte, begrenzen Administratoren im Allgemeinen die Anzahl der Anrufe, die ein Konto gleichzeitig leisten kann, erklärte er. "Meistens wären Sie nicht in der Lage, Tausende von Anrufen in einer Stunde zu erstellen."
Der Fehler betrifft ältere Versionen von Asterisk, aber nicht die aktuellste Version 1.6, sagte er.