Ovozli pochta xizmatlari qo’pol kuch hujumlariga zaif.
Ovozli pochta PIN-kodini buzish orqali tajovuzkorlar turli jabrlanuvchi akkauntlariga kirish huquqiga ega bo’lishlari mumkin.
Ovozli pochta xizmatlari hujumchilarga to’rt xonali PIN-kodni buzishga imkon beruvchi qo’pol kuch hujumlariga zaifdir. Jabrlanuvchining ovozli pochtasiga kirish orqali hujumchilar ularning WhatsApp, PayPal, LinkedIn va Netflix akkauntlarini nazorat qilishlari mumkin. Bundan tashqari, mutaxassislar ta’kidlaganidek, xavfsizlik PIN-kodlarini parollarga qaraganda buzish ancha oson. 27-dekabr, payshanba kuni Germaniyaning Leypsig shahrida bo’lib o’tgan 35C3 kongressida xavfsizlik bo’yicha tadqiqotchi Martin Vigo eski friking texnikalariga asoslangan ovozli pochta PIN-kodlarini buzish usulini taqdim etdi.
Vigo ma’lumotlariga ko’ra, avtomatlashtirilgan telefon qo’ng’iroqlari ko’pincha parollarni tiklash, hisoblarni tekshirish va boshqa xizmatlarni bajarish uchun ishlatiladi. Ularni ushlab qolish orqali (masalan, eski zaifliklardan foydalanish), tajovuzkorlar jabrlanuvchining turli xizmatlardagi hisoblariga kirish huquqiga ega bo’lishlari mumkin. Bundan tashqari, agar parolni tiklash tizimi PIN-kodni talab qilsa, buzib kirilgan ovozli pochta ikki tonli ko’p chastotali (DTMF) signalni ijro etish uchun ishlatilishi mumkin.
Hujumni namoyish qilish uchun Vigo PIN kodlarini avtomatik ravishda shafqatsizlarcha ishlatish uchun skript yozdi, bu asosan ovozli pochtani himoya qilish uchun ishlatiladi (Voicemailcracker.py skriptini GitHub-da topish mumkin). Tadqiqotchi tushuntirganidek, Voicemailcracker telefon qo’ng’iroqlarini dasturiy ravishda boshqarish uchun VOIP xizmati bo’lgan Twilio-dan foydalanadi. Skript ovozli pochta va shafqatsizlarcha PIN kodlari bilan o’zaro aloqada bo’lish uchun bir vaqtning o’zida yuzlab qo’ng’iroqlarni boshlaydi, bularning barchasi jabrlanuvchining xabarisiz amalga oshiriladi.
Konferensiyada taqdimoti davomida Vigo tizimning qo’pol kuch hujumlari bilan qanday ishlashi mumkinligini namoyish etdi va WhatsApp, PayPal va LinkedIn akkauntlariga qanday kirganini ko’rsatdi. O’shandan beri ushbu xizmatlar kelajakda shunga o’xshash hujumlarning oldini olish uchun PIN-kodni tekshirish tizimlarini yangiladilar.
Phreaking – bu yashirin yoki hujjatlashtirilmagan funksiyalardan foydalangan holda jamoat telefonlari, telefon tarmoqlari va mobil telefon tarmoqlarini buzib kirishdir. Phreaking odatda bepul qo’ng’iroqlar, shaxsiy mobil telefon hisoblarini to’ldirish va boshqa maqsadlar uchun amalga oshiriladi. Phreaking tarixi 1950 va 1960-yillarga borib taqaladi.
Raqam terish signali – bu telefon raqamini terish uchun ishlatiladigan ikki tonli ko’p chastotali analog signal. DTMF qurilmalar o’rtasida avtomatik telefon signalizatsiyasi uchun ishlatiladi va shuningdek, ovozli javob berish tizimlari kabi turli interaktiv tizimlar uchun buyruqlarni qo’lda abonentga kiritish uchun ham ishlatiladi.
