攻击者可以通过在线电话验证系统窃取数百万美元
在最新攻击中,显示用户使用高级呼叫费用如何识别电话号码,研究人员发现他可以通过滥用谷歌,微软和Instagram使用的在线电话验证系统来获得数百万。
许多网站和移动应用程序允许用户将电话号码与其帐户相关联。这可用于双因素身份验证或作为帐户恢复和验证选项。这些系统中的许多系统依赖于通过短信发送的代码,但也可以选择调用用户并指示此类代码的选项。
去年,一个名叫Arne Swinnen的Belgian IT安全顾问开始令人想知道这样的系统是否测试了用户输入的数字是否有附加到他们的高级费用并开始测试几个流行的服务。
Swinnen于9月开始与Instagram开始,并迅速发现该服务将呼叫用户提供的保费率,如果发送到通过SMS的Instagram安全代码未在三分钟内输入。他还发现了一种方法来触发来自加利福尼亚州和最后17秒的此类Instagram调用,通过每30秒通过API(应用程序编程接口)进行。
Swinnen设置了一个电话号码,每分钟花费0.06英镑,并且通过滥用Instagram系统,能够在17分钟内获得1磅。通过注册额外的数字和Instagram账户,攻击可能已经自动化,以获得每天数千英镑。
拥有Instagram的Facebook最初告诉研究员这不是一个漏洞,而是服务旨在工作的一部分。该公司表示,它监控并阻止滥用尝试,并通过代表接受的风险滑倒。
Facebook后来微调一些呼叫率限制,对其出站服务进行了更改,并决定奖励研究人员,其中赏金为2,000美元。
二月,研究人员报告了对谷歌的类似攻击。它的基于电话的双因素认证服务也开放滥用,尽管使用更困难的过程。
Swinnen计算出他可以使用单一的Google帐户和优质速率编号每天窃取12欧元,这是一个可以乘以注册更多数字和帐户的总和。
谷歌通过说它有缓解,而是因为电信行业如何工作,因此无法完全防止这种滥用发生。
微软的办公室365试验登记需要电话验证,是滥用的最成熟。研究人员发现了两种绕过网站的现有呼叫率限制的方法,使他理论上拨打了超过1300万个电话到同一保费。
此外,该服务允许并发调用,每个持续约23秒。使用电话号码每分钟收费0,15欧元,研究人员能够在不到一分钟内赚取1欧元。
微软表示,这种漏洞的实际影响将是公司用于呼叫服务的第三方合作伙伴。卖方决定奖励500美元的赏金,并努力解决问题。
虽然这种类型的攻击现已用于Instagram,Google和Microsoft,但有更多的在线服务和应用可能脆弱。Swinnen的研究,他在博客帖子中发出公众,突出了一般的努力 - 对于公司和消费者来说 - 统治常规和高级率。