บริการ VoIP มีช่องโหว่กับ Botnets นักวิจัยด้านความปลอดภัยกล่าวว่า

ข้อบกพร่องในระบบโทรศัพท์ผ่านอินเทอร์เน็ตที่เป็นที่นิยมอาจถูกนำมาใช้เพื่อสร้างเครือข่ายบัญชีโทรศัพท์ที่ถูกแฮ็กโดยค่อนข้างคล้ายกับบ็อตเน็ตที่ทำอันตรายกับเครื่องพีซีในช่วง 2-3 ปีที่ผ่านมา

นักวิจัยจาก Secure Science เพิ่งค้นพบวิธีการโทรออกโดยไม่ได้รับอนุญาตจากทั้ง Skype และระบบการสื่อสาร Google Voice ใหม่ Lance James ผู้ร่วมก่อตั้ง บริษัท กล่าวว่า

การดักฟังข้อมูลโดย IP

ผู้โจมตีสามารถเข้าถึงบัญชีได้โดยใช้ เทคนิคการค้นพบโดยนักวิจัยแล้วใช้โปรแกรม PBX ต้นทุนต่ำ (การแลกเปลี่ยนสาขาส่วนตัว) เพื่อให้มีการโทรหลายพันครั้งผ่านบัญชีเหล่านั้น

การโทรจะไม่สามารถติดตามได้ดังนั้นผู้โจมตีสามารถตั้งค่าระบบอัตโนมัติ aging ระบบพยายามขโมยข้อมูลสำคัญจากเหยื่อการโจมตีที่เรียกว่า vishing การโทรอาจเป็นข้อความที่บันทึกไว้ซึ่งขอให้ผู้รับอัพเดทรายละเอียดบัญชีธนาคารเช่น

"ถ้าฉันขโมยบัญชี Skype [บัญชี] ฉันสามารถตั้งค่า [PBX] เพื่อหมุนหมายเลขเหล่านี้ทั้งหมด และฉันสามารถตั้งค่า Skype botnet เสมือนจริงเพื่อโทรออกได้มันน่าจะเป็นจุดเริ่มต้นของล้อสำหรับคนพาลเมอร์และมันจะเป็นจุดโจมตีของ Skype "เจมส์กล่าว"

ใน Google Voice ผู้โจมตีสามารถ แม้จะดักฟังหรือสอดแนมเกี่ยวกับสายเรียกเข้า James กล่าวว่า ผู้โจมตีจะใช้คุณลักษณะที่เรียกว่า Temporary Call Forwarding เพื่อเพิ่มหมายเลขอื่นลงในบัญชีจากนั้นใช้ซอฟต์แวร์เสรีเช่น Asterisk เพื่อรับสายก่อนที่เหยื่อจะได้ยินเสียงเรียกเข้า โดยการกดสัญลักษณ์ดาวการโทรจะถูกส่งต่อไปยังโทรศัพท์ของผู้บุกรุกโดยให้ผู้บุกรุกเข้ามาฟังระหว่างการโทร

[การอ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows]

การปลอมแปลง นักวิจัยด้านวิทยาศาสตร์ความปลอดภัยสามารถเข้าถึงบัญชีที่พวกเขาตั้งขึ้นโดยใช้บริการออนไลน์ที่เรียกว่า spoofcard ซึ่งทำให้ผู้ใช้สามารถดูได้เหมือนกำลังโทรจากหมายเลขใด ๆ ที่ต้องการ

มีการใช้สป้อแป้ ในอดีตเพื่อเข้าถึงบัญชีวอยซ์เมล ชื่อเสียงมากที่สุดก็ถูกกล่าวหาว่าเป็นเพราะบัญชี BlackBerry ของ Lindsay Lohan ถูกแฮ็กสามปีที่แล้วและใช้ในการส่งข้อความที่ไม่เหมาะสม

การโจมตีใน Google Voice และ Skype ใช้เทคนิคต่างกัน แต่โดยพื้นฐานแล้วทั้งสองทำงานเนื่องจากทั้งสองบริการไม่ต้องการรหัสผ่าน เพื่อเข้าถึงระบบวอยซ์เมล

สำหรับการโจมตีของ Skype ในการทำงานเหยื่อจะต้องถูกหลอกว่าเข้าสู่เว็บไซต์ที่เป็นอันตรายภายใน 30 นาทีหลังจากเข้าสู่ระบบ Skype ในการโจมตี Google Voice (PDF) แฮ็กเกอร์จะต้องทราบหมายเลขโทรศัพท์ของเหยื่อก่อน แต่ Secure Science ได้คิดค้นวิธีนี้โดยใช้บริการข้อความสั้น (SMS) ของ Google Voice

ข้อบกพร่องของ Google

Google ได้ทำการแก้ไขข้อบกพร่องที่ทำให้ Secure Science โจมตีเมื่อสัปดาห์ที่แล้วและได้เพิ่มความต้องการรหัสผ่านเข้าสู่ระบบข้อความเสียง บริษัท กล่าวในแถลงการณ์ว่า "เราได้ร่วมมือกับ Secure Science เพื่อแก้ไขปัญหาที่เกิดขึ้นกับ Google Voice และเราได้ทำการปรับปรุงระบบของเราหลายครั้ง" บริษัท กล่าว "เรายังไม่ได้รับรายงานใด ๆ เกี่ยวกับการเข้าถึงบัญชีใด ๆ ในลักษณะที่อธิบายไว้ในรายงานและการเข้าถึงดังกล่าวจะต้องมีเงื่อนไขหลายอย่างที่ต้องปฏิบัติกัน"

ข้อบกพร่องของ Skype ยังไม่ได้รับการแก้ไข. อีเบย์ซึ่งเป็น บริษัท แม่ของ Skype ไม่ได้ตอบสนองต่อคำร้องขอให้แสดงความคิดเห็นโดยทันที

การโจมตีแสดงให้เห็นว่าการเชื่อมต่อระบบโทรศัพท์โรงเรียนเก่าเข้าด้วยกันอย่างปลอดภัย "ชนิดของการพิสูจน์นี้ … วิธีง่าย VoIP คือการสกรูขึ้น" เขากล่าว เขาเชื่อว่าข้อบกพร่องเหล่านี้เกือบจะส่งผลกระทบต่อระบบ VoIP อื่น ๆ ด้วยเช่นกัน "มีผู้คนจำนวนมากที่สามารถหาวิธีแตะสายโทรศัพท์ของคุณได้"