Ερευνητής κλέβει Instagram, Google και Microsoft μέσω 2FA

O Βέλγος ερευνητής ασφαλείας Arne Swinnen ανακάλυψε ένα τρόπο να κλέβει χρήματα από εταιρείες όπως το Facebook (μέσω της υπηρεσίας Instagram), τη Google και τη Microsoft, χρησιμοποιώντας τα συστήματα token των συστημάτων ελέγχου ταυτότητας δύο παραγόντων (2FA).
2fa pwned
Οι περισσότερες εταιρείες χρησιμοποιούν 2FA (Two-Factor Authentication) για την αποστολή σύντομων κωδικών μέσω SMS για τους χρήστες τους. Προαιρετικά, αν ο χρήστης το επιλέξει μπορεί λάβει μια φωνητική κλήση από την εταιρεία, κατά την διάρκεια της οποίας ένα ρομπότ λέει τον κωδικό.

Αυτά τα τηλεφωνήματα συνήθως γίνονται στον αριθμό κινητού που είναι συσδεδεμένος με τον λογαριασμό. Ο Swinnen ανακάλυψε στα πειράματά του ότι μπορούσε να δημιουργήσει λογαριασμούς του Instagram της Google και του Microsoft Office 365 στους οποίους αντί να βάλει τον αριθμό του κινητού του, χρησιμοποίησε έναν αριθμό premium.

Έτσι αν κάποιος από αυτούς τουε τρεις λογαριασμούς χρησιμοποιούσε το 2FA αντί να καλέσουν τον αριθμό του έστελνε premium SMS χρεώνοντας τις επιχειρήσεις.

Ο Swinnen υποστηρίζει ότι οι επιτιθέμενοι θα μπορούσαν να δημιουργήσουν premium υπηρεσίες και ψεύτικους λογαριασμούς στο Instagram, το Google ή τη Microsoft.

Χρησιμοποιώντας αυτοματοποιημένα scripts, ο Swinnen αναερει ότι ένας εισβολέας θα μπορούσε να ζητήσει 2FA tokens για όλους τους λογαριασμούς, και με αυτόν τον τρόπο, με νόμιμες τηλεφωνικές κλήσεις προς την υπηρεσία, να κερδίζει πολλά χρήματα.

Σύμφωνα με τους υπολογισμούς του Swinnen, ο ίδιος θα μπορούσε θεωρητικά να αποκτήσει 2.066.000 ευρώ ετησίως από το Instagram, 432.000 € ετησίως από τη Google, και 669.000 € ανά premium αριθμό από τη Microsoft.

Οι τεχνικές και εκμετάλλευση λεπτομέρειες είναι διαφορετικές για κάθε υπηρεσία, και ο Swinnen τις εξηγεί στο blog του.

https://www.arneswinnen.net/2016/07/how-i-could-steal-money-from-instagram-google-and-microsoft/

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).