حملهکنندههای باهوش قادر به بهرهبرداری حفرههایی هستند که با انجام عملیات ساده، حتی شرکتهای بزرگی چون گوگل، مایکروسافت و اینستاگرام را به مخاطره بیاندازند.
یک محقق امنیتی به نام Arne Swinnen از بلژیک، توانست راه هوشمندانهای برای سرقت پول از شرکتهای بزرگی مانند گوگل، مایکروسافت و اینستاگرام با استفاده از تصدیق اصالت دوعامله مبتنی بر صوت(۱) و شماره تلفنهای Premium rate (که هزینه مکالمه این شمارهها بیشتر از شمارههای معمولی است و قسمتی از هزینه به فراهم آورنده سرویس تعلق میگیرد) کشف کند.
Swinnen بیان میکند که یک حملهکننده میتواند با ساختن حساب کاربری در این شرکتها با شمارههای premium و پیوند دادن آنها با هم، عملیات مخرب خود را انجام دهد. حملهکننده میتواند با فعال کردن این نوع تصدیق اصالت، برای تمام حسابهای کاربری و نوشتن اسکریپتی به منظور خودکارسازی این عملیات، پول زیادی را دریافت کند.
Swinnen چندین حساب کاربری را در گوگل، مایکروسافت آفیس و اینستاگرام ساخت و در آنها از شمارههای premium به جای شمارههای معمولی استفاده کرد. در نتیجه، هر زمانی که یکی از این سرویسها برای دادن کد دسترسی به حساب کاربری، تماس میگرفت، شماره premium یک تماس ورودی را ثبت میکرد و یک صورت حساب به نام تماسگیرنده صادر میشد. با وجود اینکه Swinnen میتوانست €۴۳۲,۰۰۰، €۶۶۹,۰۰۰ و €۲,۰۶۶,۰۰۰ در سال، به ترتیب از گوگل، مایکروسافت و اینستاگرام دریافت کند، اما او کار خود را به هر سه شرکت گزارش داد.
شرکتهای فیسبوک (مالک اینستاگرام) و مایکروسافت مقادیر $۲۰۰۰ و $۵۰۰ را از طریق همان رخنه، به Swinnen پاداش دادند و گوگل نام او را در تالار مشاهیر خود بیان کرده است.
منابع
http://thehackernews.com/2016/07/hack-make-money.html
https://www.arneswinnen.net/2016/07/how-i-could-steal-money-from-instagram-google-and-microsoft
(۱) two-factor authentication (2FA) voice-based token
ثبت ديدگاه