FBI: criminelen Automatisch kiezen met gehackte VoIP-systemen

Criminelen maken misbruik van een bug in het Asterisk-internettelefoniesysteem waarmee ze binnen een uur duizenden scam-telefoontjes kunnen uitpompen, waarschuwde het Amerikaanse Federal Bureau of Investigation vrijdag.

De FBI zei niet welke versies van Asterisk kwetsbaar waren voor de bug, maar het adviseerde gebruikers om te upgraden naar de nieuwste versie van de software. Asterisk is een open-sourceproduct waarmee gebruikers van een Linux-computer een VoIP-telefooncentrale (Voice over Internet Protocol) kunnen maken.

In zogenaamde vishing-aanvallen gebruiken oplichters een VoIP-systeem om een ​​nep-callcenter in te stellen en gebruik dan phishing-e-mails om slachtoffers te misleiden om het centrum te bellen. Eenmaal daar wordt hen gevraagd om privé-informatie te geven. Maar in de zwendel beschreven door de FBI, nemen ze schijnbaar de legitieme Asterisk-systemen over om slachtoffers rechtstreeks te bellen.

[Verdere lectuur: de beste NAS-boxen voor mediastreaming en back-up]

"Vroege versies van de Asterisk-software zijn bekend met een kwetsbaarheid, "zei de FBI in een advies geplaatst op vrijdag bij het Internet Crime Complaint Center. "De kwetsbaarheid kan door cybercriminelen worden misbruikt om het systeem als een automatische kiezer te gebruiken en binnen een uur duizenden telefoontjes naar consumenten te genereren."

De door Digium ontwikkelde software is al bijna een decennium beschikbaar en een aantal kritieke fouten zijn gevonden in de software. In maart rapporteerden onderzoekers van Mu Security een bug waardoor een aanvaller de controle over een asterisk-systeem kon overnemen. Digium wist niet zeker welke kwetsbaarheid de FBI in haar advies gebruikte. John Todd, de open-source gemeenschapsdirecteur van het bedrijf, is echter van mening dat het waarschijnlijk deze March-bug was. Die kwetsbaarheid "liet je in principe toe om het account van één persoon over te nemen," zei hij. "In het slechtst mogelijke geval zou je binnen een uur duizenden oproepen kunnen doen."

Echter, de aanval beschreven door de FBI zou extreem moeilijk zijn om uit te trekken, zei Todd.

De meeste Asterisk-systemen worden beschermd door firewalls of andere beveiligingssoftware en zelfs als een gebruiker toegang zou kunnen krijgen, beperken beheerders over het algemeen het aantal gesprekken dat een account tegelijk kan maken, legde hij uit. "Meestal zou je niet binnen een uur duizenden oproepen kunnen maken."

Het nadeel is van invloed op oudere versies van Asterisk, maar niet op de meest recente versie 1.6, zei hij.