O Βέλγος ερευνητής ασφαλείας Arne Swinnen ανακάλυψε ένα τρόπο να κλέβει χρήματα από εταιρείες όπως το Facebook (μέσω της υπηρεσίας Instagram), τη Google και τη Microsoft, χρησιμοποιώντας τα συστήματα token των συστημάτων ελέγχου ταυτότητας δύο παραγόντων (2FA).
Οι περισσότερες εταιρείες χρησιμοποιούν 2FA (Two-Factor Authentication) για την αποστολή σύντομων κωδικών μέσω SMS για τους χρήστες τους. Προαιρετικά, αν ο χρήστης το επιλέξει μπορεί λάβει μια φωνητική κλήση από την εταιρεία, κατά την διάρκεια της οποίας ένα ρομπότ λέει τον κωδικό.
Αυτά τα τηλεφωνήματα συνήθως γίνονται στον αριθμό κινητού που είναι συσδεδεμένος με τον λογαριασμό. Ο Swinnen ανακάλυψε στα πειράματά του ότι μπορούσε να δημιουργήσει λογαριασμούς του Instagram της Google και του Microsoft Office 365 στους οποίους αντί να βάλει τον αριθμό του κινητού του, χρησιμοποίησε έναν αριθμό premium.
Έτσι αν κάποιος από αυτούς τουε τρεις λογαριασμούς χρησιμοποιούσε το 2FA αντί να καλέσουν τον αριθμό του έστελνε premium SMS χρεώνοντας τις επιχειρήσεις.
Ο Swinnen υποστηρίζει ότι οι επιτιθέμενοι θα μπορούσαν να δημιουργήσουν premium υπηρεσίες και ψεύτικους λογαριασμούς στο Instagram, το Google ή τη Microsoft.
Χρησιμοποιώντας αυτοματοποιημένα scripts, ο Swinnen αναερει ότι ένας εισβολέας θα μπορούσε να ζητήσει 2FA tokens για όλους τους λογαριασμούς, και με αυτόν τον τρόπο, με νόμιμες τηλεφωνικές κλήσεις προς την υπηρεσία, να κερδίζει πολλά χρήματα.
Σύμφωνα με τους υπολογισμούς του Swinnen, ο ίδιος θα μπορούσε θεωρητικά να αποκτήσει 2.066.000 ευρώ ετησίως από το Instagram, 432.000 € ετησίως από τη Google, και 669.000 € ανά premium αριθμό από τη Microsoft.
Οι τεχνικές και εκμετάλλευση λεπτομέρειες είναι διαφορετικές για κάθε υπηρεσία, και ο Swinnen τις εξηγεί στο blog του.
https://www.arneswinnen.net/2016/07/how-i-could-steal-money-from-instagram-google-and-microsoft/
