Hacker können Asterisk PBX missbrauchen

Der Sicherheitsexperte Jay Shulman hat auf der ‘Black Hat Security Conference’ (Las Vegas, 29. Juli bis 3. August) demonstriert, wie die Open Source Software ‘Asterisk PBX’ von Hackern missbraucht werden kann.

Asterisk PBX habe die Ökonomie des Phishing via VoIP (Voice over IP) verändert, sagte Shulman dem Branchendienst Internetnews. Vor Jahren hätten Hacker dafür noch ein kommerzielles System kaufen müssen.

Shulman zeigte in seiner Präsentation, welche Auswirkungen der Asterisk-Missbrauch hat – nicht jedoch, wie dieser genau funktioniert. So könnte ein Hacker einem Opfer – etwa einem Bankkunden – eine E-Mail schicken und diesen dazu auffordern, bei einer kostenfreien Service-Nummer anzurufen.

Der Kriminelle kann das Gespräch via Asterisk PBX entgegennehmen und vertrauliche Daten abfragen lassen. Asterisk PBX zeichnet die Daten auf, managt den Anruf und beendet die Verbindung wieder.

Die Open-Source-Software kann laut Shulman zudem als eine Art ‘man in the middle’ agieren. Dann leitet Asterisk PBX die Anrufe zu einem echten Kundentelefon weiter – bleibt aber online und zeichnet wiederum persönliche Informationen auf.

Der Experte machte Vorschläge, wie man mögliche Hackerangriffe via Asterisk PBX erschweren könnte. So sollten die Bankkunden dazu angehalten werden, nur die Service-Nummern anzurufen, die auf der Rückseite der Kreditkarte verzeichnet sind. Um Man-in-the-middle-Attacken auszuschließen, könnten die Call-Center-Mitarbeiter zudem nachfragen, welche Nummer der Anrufer gewählt habe, so der Experte.