FBI：罪犯利用黑客VoIP系统自动拨号

FBI没有说明哪个版本的Asterisk容易受到这个bug的影响，但它建议用户升级到最新版本的软件。 Asterisk是一款开放源代码产品，可让用户将Linux计算机转变为VoIP（互联网语音协议）电话交换机。

在所谓的钓鱼攻击中，骗子通常使用VoIP系统建立虚假呼叫中心，然后使用网络钓鱼电子邮件欺骗受害者呼叫中心。一旦到达，他们会被要求提供私人信息。但在FBI描述的骗局中，他们显然正在接管合法的Asterisk系统以直接拨打受害者。[

] [进一步阅读：用于媒体流和备份的最佳NAS机箱]

“早期版本的Asterisk软件已知存在漏洞，“联邦调查局周五向互联网犯罪投诉中心发布的一份咨询意见中称。 “网络犯罪分子可以利用这个漏洞将该系统用作汽车拨号器，并在一小时内为消费者创造数以千计的钓鱼电话。”

由Digium开发的软件已有近十年的历史，并且软件中发现了一些严重缺陷。今年3月，Mu Security的研究人员报告了一个漏洞，可能允许攻击者控制Asterisk系统。

Digium并不确定FBI在其咨询中提到哪些漏洞。然而，该公司的Asterisk开源社区主管John Todd认为，这可能是今年3月份的一个漏洞。他说，这个漏洞“基本上允许你接管一个人的账户”。 “在最糟糕的情况下，你可以在一个小时内打几千个电话。”

但是，FBI描述的攻击将非常难以实现，Todd说道。大多数Asterisk系统受防火墙保护或其他安全软件，即使有人可以通过visher访问，管理员通常会限制任何一个帐户可以同时进行的呼叫数量，他解释说。 “大多数情况下，你无法在一个小时内创建数千个电话。”

他说，这个缺陷影响了较早版本的Asterisk，但不是最新版本的1.6。