वीओआईपी सेवाएं बॉटनेट के लिए कमजोर हैं, सुरक्षा शोधकर्ताओं का कहना है

लोकप्रिय इंटरनेट-आधारित टेलीफोनी सिस्टम में त्रुटियों का इस्तेमाल हैक किए गए फोन खातों का नेटवर्क बनाने के लिए किया जा सकता है, कुछ हद तक उन बोनेट्स की तरह जो पिछले कुछ सालों से पीसी के साथ कहर बरबाद कर रहे हैं।

सिक्योर साइंस के शोधकर्ताओं ने हाल ही में कंपनी के कोफाउंडर लांस जेम्स के अनुसार स्काइप और नई Google वॉयस संचार प्रणालियों दोनों से अनधिकृत कॉल करने के तरीकों की खोज की।

आईपी द्वारा सहेजा जा रहा है

एक हमलावर खाते का उपयोग कर खातों तक पहुंच प्राप्त कर सकता है शोधकर्ताओं द्वारा खोजी जाने वाली तकनीकों, फिर उन खातों के माध्यम से हजारों कॉल करने के लिए कम लागत वाले पीबीएक्स (निजी शाखा विनिमय) कार्यक्रम का उपयोग करें।

कॉल लगभग अवांछित होंगे, इसलिए हमलावर स्वचालित गड़बड़ी स्थापित कर सकते हैं पीड़ितों से संवेदनशील जानकारी को चलाने और चोरी करने के लिए उम्र बढ़ने वाली प्रणाली, एक हमला जिसे विशिंग कहा जाता है। कॉल एक रिकॉर्ड किया गया संदेश हो सकता है, जिससे प्राप्तकर्ता अपने बैंक खाते के विवरण अपडेट कर सकता है, उदाहरण के लिए।

"अगर मैं [स्काइप खातों] का एक गुच्छा चुराता हूं, तो मैं उन सभी नंबरों को राउंड-रॉबिन करने के लिए [एक पीबीएक्स] स्थापित कर सकता हूं, और मैं आउटबाउंड कॉल करने के लिए वर्चुअल स्काइप बॉटनेट स्थापित कर सकता हूं। यह फिशर के लिए पहियों पर नरक होगा और यह स्काइप के लिए हमले का नरक होगा। "99

Google Voice में, हमलावर जेम्स ने कहा कि इनकमिंग कॉल पर भी अवरोध या स्नूप करें। कॉल को अवरुद्ध करने के लिए, हमलावर खाते में एक और नंबर जोड़ने के लिए अस्थायी कॉल फॉरवर्डिंग नामक एक सुविधा का उपयोग करेगा, फिर पीड़ित को कभी भी एक अंगूठी सुनने से पहले कॉल का जवाब देने के लिए एस्टरिस्क जैसे मुफ्त सॉफ्टवेयर का उपयोग करें। फिर स्टार प्रतीक दबाकर, कॉल को पीड़ित के फोन पर अग्रेषित किया जा सकता था, जिससे हमलावर कॉल पर सुनने का एक तरीका दे रहा था।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

स्पूफिंग एक कॉल का स्रोत

सुरक्षित विज्ञान शोधकर्ता उन खातों तक पहुंचने में सक्षम थे जिन्हें उन्होंने ऑनलाइन सेवाओं का उपयोग करके स्थापित किया था, जिसे स्पूफकार्ड कहा जाता है, जो उपयोगकर्ताओं को ऐसा दिखाई देने की अनुमति देता है जैसे कि वे किसी भी संख्या से कॉल कर रहे हैं।

स्पूफ़कार्ड का उपयोग किया गया है अतीत में वॉयस मेल खातों तक पहुंचने के लिए। सबसे प्रसिद्ध बात यह है कि जब अभिनेत्री लिंडसे लोहान के ब्लैकबेरी खाते को तीन साल पहले हैक किया गया था और फिर अनुचित संदेश भेजने के लिए इस्तेमाल किया गया था।

Google Voice और Skype पर हमले विभिन्न तकनीकों का उपयोग करते हैं, लेकिन अनिवार्य रूप से वे दोनों काम करते हैं क्योंकि न तो सेवा को पासवर्ड की आवश्यकता होती है अपने वॉयस मेल सिस्टम तक पहुंचने के लिए।

स्काइप हमले के लिए काम करने के लिए, पीड़ित को स्काइप में लॉग इन होने के 30 मिनट के भीतर एक दुर्भावनापूर्ण वेबसाइट पर जाकर धोखा देना होगा। Google Voice Attack (पीडीएफ) में, हैकर को सबसे पहले पीड़ित के फोन नंबर को जानने की आवश्यकता होगी, लेकिन सिक्योर साइंस ने Google Voice की शॉर्ट मैसेज सर्विस (एसएमएस) का उपयोग करके इसे समझने का एक तरीका तैयार किया है।

Google पते त्रुटियों

कंपनी ने एक बयान में कहा कि Google ने पिछले हफ्ते सिक्योर साइंस के हमले को सक्षम करने वाली बगों को पैच किया है और अपनी वॉयस मेल प्रणाली में पासवर्ड की आवश्यकता को जोड़ा है। कंपनी ने कहा, "हम Google Voice के साथ उठाए गए मुद्दों को हल करने के लिए सिक्योर साइंस के समन्वय में काम कर रहे हैं, और हमने पहले से ही हमारे सिस्टम में कई सुधार किए हैं।" "हमें रिपोर्ट में वर्णित तरीके से किसी भी खाते तक पहुंचने की कोई रिपोर्ट नहीं मिली है, और इस तरह के एक्सेस के लिए कई शर्तों को एक साथ पूरा करने की आवश्यकता होगी।"

जेम्स के अनुसार स्काइप त्रुटियों को अभी तक पैच नहीं किया गया है । ऐबे, स्काइप की मूल कंपनी ने तुरंत टिप्पणी के अनुरोध का जवाब नहीं दिया।

हमलों से पता चलता है कि इंटरनेट की अधिक फ्री-व्हीलिंग दुनिया में पुराने स्कूल टेलीफोन सिस्टम को सुरक्षित रूप से एकीकृत करना कितना मुश्किल होगा। "इस प्रकार का साबित होता है … वीओआईपी कितना आसान है," उन्होंने कहा। उनका मानना ​​है कि इस तरह की खामियां लगभग निश्चित रूप से अन्य वीओआईपी सिस्टम को भी प्रभावित करती हैं। "वहां ऐसे लोग हैं जो आपकी फोन लाइनों को टैप करने का तरीका समझ सकते हैं।"