Wiretapping the Secret Service can be easy and fun | Bryan Seely | TEDxKirkland
Kriminelle drar nytte av en feil i Asterisk Internett-telefonsystemet som lar dem pumpe ut tusenvis av svindel telefonsamtaler på en time, advarte USAs føderale undersøkelsesbyrå fredag.
FBI sa ikke hvilke versjoner av Asterisk som var sårbare for feilen, men det anbefales at brukere oppgraderer til den nyeste versjonen av programvaren. Asterisk er et åpen kildekodeprodukt som lar brukere slå en Linux-datamaskin til en VoIP-telefon (Voice over Internet Protocol).
I såkalte vishing-angrep bruker svindlere vanligvis et VoIP-system for å sette opp et falskt call center og Bruk deretter phishing-e-post til å lure ofrene til å ringe til senteret. En gang der blir de bedt om å gi privat informasjon. Men i den svindel som FBI beskriver, tar de tilsynelatende over legitime stjernesystemer for å ringe direkte til ofre.
[Videre lesing: Best NAS-bokser for media streaming og backup]"Tidlige versjoner av Asterisk-programvaren er kjent for å ha et sårbarhet, "sa FBI i en rådgivende postlagt fredag til kriminalitetssenteret for kriminalitet. "Sårbarheten kan utnyttes av cyberkriminelle til å bruke systemet som en automatisk oppringer, og genererer tusenvis av telefonsamtaler til forbrukerne innen en time."
Programvaren, utviklet av Digium, har vært tilgjengelig i nesten ti år, og en rekke kritiske feil har blitt funnet i programvaren. I mars rapporterte forskere ved Mu Security en feil som kunne tillate en angriper å ta kontroll over et asterisk system.
Digium var ikke sikker på hvilken sårbarhet FBI refererte i dets rådgivende. Men John Todd, selskapets Asterisk open-source community direktør, mener at det var sannsynligvis denne mars bug. At sårbarheten "i utgangspunktet tillot deg å ta over kontoen til ett individ," sa han. "I verste fall kan du gjøre tusenvis av samtaler om en time."
Men angrepet beskrevet av FBI ville være ekstremt vanskelig å trekke av, sa Todd.
De fleste stjernesystemer er beskyttet av brannmurer eller annen sikkerhetsprogramvare, og selv om man kunne få tilgang til en vismester, begrenser administratorer generelt antallet samtaler en konto kan gjøre samtidig, forklarte han. "Mesteparten av tiden ville du ikke kunne lage tusenvis av samtaler om en time."
Feilen påvirker eldre versjoner av Asterisk, men ikke den nyeste versjonen 1.6, sa han.
Skype er beta-testing en kobling mellom sitt proprietære VOIP-system og brytere Skype dypere inn i markedet for forretningstelefoner med et system som lar bedrifter integrere sine eksisterende, åpne VOIP-telefonsystemer med Skypes proprietære VOIP-tjeneste.
Det nye tilbudet, Skype for SIP, bruker Session Initiation Protocol (SIP) for å utveksle signalering mellom PBXer (private branch exchanges) og gratis eller billig taletjeneste. De nyeste PBXene støtter SIP, en signalprotokoll som er utformet for å spore IP-baserte telefoner, programvareklienter og andre komponenter i enhetlige kommunikasjonssystemer.
1. SOCIALE ENGINEERING STORER OPP. Sosialteknikk, handlingen med å lure folk til å gi opp sensitiv informasjon, er ikke noe nytt. Kevin Mitnick overtalte hackeren gjorde et navn for seg selv av kaldkalkende medarbeider hos store amerikanske selskaper og snakket om å gi ham informasjon. Men dagens kriminelle har en heyday med e-post og sosiale nettverk. En velskrevet phishing-melding eller virusbelastet spamkampanje er en billig og effektiv måte for kriminelle å få de dataene de trenger.
2. Målte takter er på vei opp. Northrop Grumman rapporterte nylig at Kina var "sannsynlig" å stjele data fra USA i en "langsiktig, sofistikert nettverksutnyttelseskampanje." Sikkerhetseksperter har lagt merke til at kriminelle var "spyd phishing" - å få trojanske hesteprogrammer til å kjøre på offerets datamaskin ved å bruke nøye utformede e-postmeldinger. Brukes til å stjele intellektuell eiendom og statshemmeligheter, er spyd phishing nå overalt.
Fjern FBI Ransomware Virus: Betal for å slette dine kriminelle poster
FBI Ransomware holder Windows-datamaskinen din til løsepenger og ber deg om å Betal for sletting av dine påståtte kriminelle aktiviteter. FBI Ransomware fjerningsalternativer er få.