VoIP-Dienste sind anfällig für Botnets, sagen Sicherheitsforscher

Fehler in populären Internet-basierten Telefoniesystemen könnten ausgenutzt werden, um ein Netzwerk von gehackten Telefonkonten zu erstellen, ähnlich wie die Botnetze, die in den letzten Jahren Chaos mit PCs angerichtet haben

Forscher von Secure Science haben kürzlich laut Lance James, dem Mitbegründer des Unternehmens, Möglichkeiten gefunden, unerlaubte Anrufe sowohl von Skype als auch von den neuen Google Voice-Kommunikationssystemen zu tätigen.

Abhören mit IP

Ein Angreifer könnte Zugriff auf Konten erhalten Techniken, die von den Forschern entdeckt wurden, verwenden dann ein kostengünstiges PBX-Programm (private branch exchange), um Tausende von Anrufen über diese Konten zu tätigen.

Die Anrufe wären praktisch unauffindbar, sodass Angreifer automatisch Chaos anrichten könnten alternde Systeme versuchen, vertrauliche Informationen von Opfern zu stehlen, ein Angriff, der als Vishing bezeichnet wird. Die Anrufe könnten eine aufgezeichnete Nachricht sein, in der der Empfänger zum Beispiel aufgefordert wird, seine Bankdaten zu aktualisieren.

"Wenn ich ein paar [Skype-Konten] stehlen möchte, kann ich [PBX] einrichten, um alle diese Nummern zu rocken, und ich kann ein virtuelles Skype-Botnetz einrichten, um ausgehende Anrufe zu tätigen. Es wäre die Hölle auf Rädern für einen Phisher und es wäre ein höllischer Angriff für Skype ", sagte James.

In Google Voice könnte der Angreifer sogar auf eingehende Anrufe abfangen oder schnüffeln, sagte James. Um einen Anruf abzufangen, verwendet der Angreifer eine Funktion mit der Bezeichnung Temporäre Anrufweiterleitung, um dem Konto eine weitere Nummer hinzuzufügen, und verwendet dann freie Software wie Asterisk, um den Anruf zu beantworten, bevor das Opfer einen Klingelton gehört hat. Durch Drücken des Sternsymbols kann der Anruf dann zum Telefon des Opfers weitergeleitet werden, wodurch der Angreifer den Anruf mithören kann.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Spoofing Quelle eines Anrufs

Die Forscher von Secure Science konnten über einen Online-Dienst namens spoofcard auf die von ihnen eingerichteten Konten zugreifen, so dass die Benutzer sie von einer beliebigen Nummer aus anrufen können.

Spoofcard wurde verwendet in der Vergangenheit auf Voicemail-Accounts zugreifen. Am bekanntesten ist es, als die Schauspielerin Lindsay Lohans BlackBerry-Konto vor drei Jahren gehackt und anschließend unangemessene Nachrichten gesendet hat.

Die Angriffe auf Google Voice und Skype verwenden verschiedene Techniken, aber im Wesentlichen funktionieren beide, da für beide Dienste kein Passwort erforderlich ist Zugriff auf sein Voicemail-System.

Damit die Skype-Attacke funktioniert, muss das Opfer innerhalb von 30 Minuten nach der Anmeldung bei Skype dazu gebracht werden, eine bösartige Website zu besuchen. Bei der Google Voice-Attacke (pdf) muss der Hacker zuerst die Telefonnummer des Opfers wissen, aber Secure Science hat eine Methode entwickelt, um dies mithilfe des Short Message Service (SMS) von Google Voice herauszufinden.

Fehler bei Google-Adressen

Google hat die Fehler behoben, die den Angriff von Secure Science letzte Woche aktiviert haben, und hat seinem Voicemail-System eine Passwort-Anforderung hinzugefügt, sagte das Unternehmen in einer Erklärung. "Wir haben in Abstimmung mit Secure Science an den Problemen mit Google Voice gearbeitet, und wir haben bereits einige Verbesserungen an unseren Systemen vorgenommen", sagte das Unternehmen. "Wir haben keine Berichte über Konten erhalten, auf die in der im Bericht beschriebenen Weise zugegriffen wurde, und ein solcher Zugriff würde eine Reihe von Bedingungen erfordern, die gleichzeitig erfüllt werden müssen."

Die Skype-Schwachstellen sind laut James noch nicht behoben worden. EBay, die Muttergesellschaft von Skype, reagierte nicht sofort auf eine Anfrage nach einem Kommentar.

Die Angriffe zeigen, wie schwierig es sein wird, die Telefonanlage der alten Schule sicher in die freizügigere Welt des Internets zu integrieren, sagte James. "Diese Art von beweist … wie einfach VoIP ist, zu versauen", sagte er. Er glaubt, dass diese Art von Fehlern fast sicher auch andere VoIP-Systeme beeinflussen. "Es gibt Leute da draußen, die herausfinden können, wie man auf Ihre Telefonleitungen klopft."