攻击者可以通过在线电话验证系统窃取数百万美元
雅虎以4.8亿美元的价格向Verizon销售网友
Facebook SDK为Apple的Swift Devs访问了平台服务
HBO黑客获得个人
议会的数字首席退出成为Arup Cio
anki的cozmo让每个人都成为A.I.专家
Apple预览麦斯科斯山脉向公众
Nominet在数字工作经验计划中投资400,000英镑
Omni酒店受到销售点恶意软件的击中
Telefónica增加了可再生能源来对抗气候变化
Android全磁盘加密可以在基于Qualcomm的设备上强制强制
索赔DORA首席执行官
欧盟层面对谷歌收取更多费用
斯坦福德大桥提供体育场连接与爱立信合作
免费Windows 10升级的结尾可能会支持PC出货量
美国参议员对神奇宝贝GO的数据收集有隐私问题
慈善互换SAN用于超纤维过多融合,以节省100万英镑
英国航空公司在线登记系统受到另一个IT失败的影响
Infosec17:为敏捷的人招募敏捷的人
北欧的云服务成熟度
俄罗斯:嘿,不要责怪我们,我们的20个政府组织也被黑了
金融恶意软件普遍存在的赎金软件
亚特斯人勺子up statepage
金融分析师预测Apple iPhone,Mac的另一个衰退
企业正在像lemmings一样涌入物联网
关于三星的Galaxy Note7需要了解的7件事
密码管理器LastPass的缺陷可以将控制权交给黑客
H&M加强了与1MW斯德哥尔摩数据中心建立的DataceRe热重用的承诺
法庭在商业宽带上击败了奥福姆裁决
将SEPSIS算法放入电子患者记录中
美国宇航局和GM手套给工人机器人手
Facebook完成其太阳能支气管互联网无人机的首次测试飞行
在英国的一半高技能欧盟工作人员正在考虑离开
DVLA试验亚马逊的Alexa for Mot和车辆税更新
ICO亮点挑战困难的工具为公共部门FOI请求合规
这个微小的设备可以感染销售点系统并解锁酒店客房
HPE发现:杂交将占据​​主导地位,内存计算到上升
Apple:Macos Sierra Public Beta今天可用
系统升级后,Experian承认移动和在线问题
超过一半的世界仍然离线
黑客在Cicis Pizza Chain上有130家餐厅
高光针对千兆宽带的200万房产
施奈尔:下一个总统可能面临着导致人们死亡的IoT Cyber​​attack
2016年浏览器选举:Chrome通过Landslide提供
TomTom和思科来解决自治车的实时通讯
长期运行的恶意运动每天感染了数千台电脑
对象存储将在网站和移动的无状态世界中“巨大”
布里斯托尔委员会将其光纤网络开放到商业运营商
Dropbox级别为管理员提供其功能
认识打开伦敦实验室,帮助客户进行数字化
您的位置:首页 >行业动态 >

攻击者可以通过在线电话验证系统窃取数百万美元

2021-07-14 09:44:04 [来源]:

在最新攻击中,显示用户使用高级呼叫费用如何识别电话号码,研究人员发现他可以通过滥用谷歌,微软和Instagram使用的在线电话验证系统来获得数百万。

许多网站和移动应用程序允许用户将电话号码与其帐户相关联。这可用于双因素身份验证或作为帐户恢复和验证选项。这些系统中的许多系统依赖于通过短信发送的代码,但也可以选择调用用户并指示此类代码的选项。

去年,一个名叫Arne Swinnen的Belgian IT安全顾问开始令人想知道这样的系统是否测试了用户输入的数字是否有附加到他们的高级费用并开始测试几个流行的服务。

Swinnen于9月开始与Instagram开始,并迅速发现该服务将呼叫用户提供的保费率,如果发送到通过SMS的Instagram安全代码未在三分钟内输入。他还发现了一种方法来触发来自加利福尼亚州和最后17秒的此类Instagram调用,通过每30秒通过API(应用程序编程接口)进行。

Swinnen设置了一个电话号码,每分钟花费0.06英镑,并且通过滥用Instagram系统,能够在17分钟内获得1磅。通过注册额外的数字和Instagram账户,攻击可能已经自动化,以获得每天数千英镑。

拥有Instagram的Facebook最初告诉研究员这不是一个漏洞,而是服务旨在工作的一部分。该公司表示,它监控并阻止滥用尝试,并通过代表接受的风险滑倒。

Facebook后来微调一些呼叫率限制,对其出站服务进行了更改,并决定奖励研究人员,其中赏金为2,000美元。

二月,研究人员报告了对谷歌的类似攻击。它的基于电话的双因素认证服务也开放滥用,尽管使用更困难的过程。

Swinnen计算出他可以使用单一的Google帐户和优质速率编号每天窃取12欧元,这是一个可以乘以注册更多数字和帐户的总和。

谷歌通过说它有缓解,而是因为电信行业如何工作,因此无法完全防止这种滥用发生。

微软的办公室365试验登记需要电话验证,是滥用的最成熟。研究人员发现了两种绕过网站的现有呼叫率限制的方法,使他理论上拨打了超过1300万个电话到同一保费。

此外,该服务允许并发调用,每个持续约23秒。使用电话号码每分钟收费0,15欧元,研究人员能够在不到一分钟内赚取1欧元。

微软表示,这种漏洞的实际影响将是公司用于呼叫服务的第三方合作伙伴。卖方决定奖励500美元的赏金,并努力解决问题。

虽然这种类型的攻击现已用于Instagram,Google和Microsoft,但有更多的在线服务和应用可能脆弱。Swinnen的研究,他在博客帖子中发出公众,突出了一般的努力 - 对于公司和消费者来说 - 统治常规和高级率。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。