Głośno o phishingu w VoIP

26 kwietnia 2006 0 przez Michał Tomaszkiewicz

Specjaliści od bezpieczeństwa firmy Cloudmark odkryli wczoraj pierwsze próby zastosowania telefonii internetowej do wykradania haseł, numerów kont i innych poufnych informacji klientów banków.
Spam ucharakteryzowany na wiadomość pochodzącą z jednego z małych banków w Stanach Zjednoczonych wzywał odbiorcę do zadzwonienia pod podany w przesyłce numer w celu konsultacji z przedstawicielem instytucji. Przestępcy skopiowali system automatycznej głosowej obsługi atakowanego banku. Wykorzystywany numer został pozyskany od legalnego operatora VoIP.

Posługując się open-source’owym programem Asterisk zmienieli komputer w PBX (private branch exchange), uruchamiając na nim system automatycznej informacji telefonicznej identyczny w formie z tym stosowanym w podrabianym banku. System był w pełni sprawny, umożliwiał nawigację po wszystkich gałęziach systemu… i zapisywał podawane numery kont i kody PIN.

Phisherzy najpradopodobniej używali komputera-zombie, przygotowanego wcześniej do działania przy pomocy złośliwego wirusa. W chwili obecnej pozyskanie numeru w sieci VoIP jest wyjątkowo tanie i proste, a przekierowanie połączeń na wybrane IP nie stwarza żadnych problemów.

„Z ekonomicznych zalet używania VoIP phisherzy czerpią takie same korzyści, jak każdy inny small business” – zauważa cynicznie Adam J. O’Donnell z Cloudmark – „Nie wiadomo jeszcze, jaką popularność VoIP zyska wśród oszustów, zależeć to będzie od skuteczności tej metody. Do firm zajmujących się bezpieczeństwem należy zaalarmowanie użytkowników, zanim będą mieli okazję stać się ofiarami przestępstwa”.