Как соорудить ботнет в сети Skype или Google Voice

За последние годы ботнеты из взломанных компьютерных систем перешли из разряда единичных случаев в число ежедневных угроз для пользователей Интернета. Исследования, проведенные специалистами компании Secure Science, показали, что системы интернет-телефонии Skype и Google Voice содержат уязвимости, которые могут быть использованы злоумышленниками для осуществления несанкционированных звонков и создания управляемой сети из взломанных аккаунтов.

Исследователи обнаружили несколько способов, которые позволяют получить доступ к аккаунтам VoIP-сети, а затем при помощи программы PBX осуществить с них тысячи звонков. Программа PBX (Private Branch Exchange) представляет собой недорогую АТС, используемую обычно в учреждениях при большом числе абонентов и маленьком количестве магистральных линий связи. Отследить звонок с нее практически невозможно, и злоумышленники, таким образом, смогут настроить системы автоматической рассылки сообщений, чтобы получать доступ к секретной и конфиденциальной информации своих жертв. Такой тип атак называется вишингом. Ее жертвам предлагается, например, позвонить на определенный номер и сообщить свои банковские реквизиты.

"Похищенные аккаунты Skype можно объединить при помощи PBX и организовать, таким образом, ботнет для осуществления исходящих звонков. В руках фишера он превратится в мощное оружие, а для Skype это будет очень тяжелая проблема", – сообщает Ланс Джеймс (Lance James), соучредитель компании Secure Science.

Взломав защиту сервиса Google Voice, злоумышленник может перехватить входящий звонок. Для этого используется функция Temporary Call Forwarding, которая предоставляет перенаправление звонка на другой аккаунт. Прежде чем жертва зафиксирует входящий звонок, к линии подключается бесплатное программное обеспечение с функциями АТС, подобное Asterisk. Затем звонок перенаправляется на систему жертвы, и злоумышленник может прослушивать ее разговор.

Доступ к чужому аккаунту можно также получить при помощи онлайн-сервиса, позволяющего звонить с подставного номера. Сервис Spoofcard был печально известен тем, что именно его использовали для взлома аккаунта BlackBerry актрисы Линдсей Лохан (Lindsay Lohan) три года назад.

Атаки на Google Voice и Skype осуществляются с помощью различных техник, но оба сервиса уязвимы, главным образом, потому, что ни один из них не защищает паролями систему голосовой почты. Для захвата аккаунта Skype достаточно заставить жертву посетить веб-сайт, содержащий вредоносный код, в течение 30 минут после авторизации в системе. Для похищения аккаунта Google Voice необходимо знать телефонный номер жертвы, и сотрудники Secure Science разработали для этого специальную технику с использованием службы пересылки SMS в системе Google Voice.

Компания Google уже отреагировала на обнаружение угрозы, исправив ошибки защиты системы и установив пароли на систему голосовой почты. Уязвимости Skype к настоящему моменту еще не исправлены.