(Uppdaterad 2007-05-08)
Rubriken är lite raljant, men jag blir lite tveksam till IDGs nyhet om röstbaserad phising som dom valt att kalla Öppen växel öppnar för hackarna. Vad det hela handlar om är att bedragare har börjat försöka lura av personer konton och PIN-koder genom att sätta upp falska telefonbanker. I IDGs artikel blir det dock det faktum att telefoniserverprojektet Asterisk, är ett öppen kod-projekt som är problemet.
Problemet kallas vishing, en förkortning för voice phising. Fenomenet är dock inte nytt, utan att använda telefoner för att lura av människor Identitetsinformation, kontoinformation etc har funnits så länge som telefonen har varit en konsumentprodukt. Det nya är nu att bluffarna är något mer avancerade och använder VoIP-teknik för att genomföra attacken.
Genom att först skicka ett mail till potentiella bankkunder och tala om för dom att det finns ett problem som kräver att dom ringer ett visst telefonnummer. På detta vis får man offren att ringa till sin bluffbank där man sedan lurar av dom den information som krävs för att komma åt deras pengar.
Siphera Systems har en bra lista på olika typer av VoIP-baserade attacker. Bank of America är en av bankerna som drabbats av vishing. Mailet som skickades ut för att fånga deras kunder såg ut så här:
We are hereby notifying you that, after a recent review of your account activity, it has been determined that you are in violation of Bank of America’s Acceptable Use Policy. Therefore, your account has been temporarily limited for: hotjasmin.com cam shows. In order to remove the limit please call our TOLL FREE number [omitted].
Dvs ett ganska typiskt phising-mail, men med tillägget att ringa ett gratisnummer som då går till den falska banken. Litar inte kunderna på webben går det att fånga dom på telefon… Och att verktyget som används är byggt med öppen kod innebär inte att det är verktyget som är problemet. Skillnaden mellan Asterisk och tidigare programvarubaserade telefoniservrar är att Asterisk är ett så mycket mer kompetent verktyg – vilket är skälet till att det fått stor legitim användning.
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.