WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Tìm ra cách thức đánh cắp tiền từ Instagram, Google và Microsoft
Nhà nghiên cứu an ninh của Bỉ Arne Swinnen đã tìm ra cách thức đánh cắp tiền từ các công ty như Facebook (thông qua dịch vụ Instagram), Google và Microsoft, bằng việc sử dụng các hệ thống phân phối token thông qua giọng nói và xác thực hai yếu tố của các hãng này.
Hầu hết các công ty triển khai cơ chế xác thực 2 yếu tố (2FA) sẽ gửi các đoạn mã ngắn qua tin nhắn SMS đến người dùng của mình. Tùy trường hợp, người dùng có thể nhận được một cuộc gọi thoại từ robot để thông báo mã bằng giọng nói.
Những cuộc gọi thoại kiểu này thường được thực hiện tới số điện thoại chính thức được gắn với các tài khoản cụ thể.
Về lý thuyết, hacker cũng có thể nhắm đến các công ty khác
Khi tiến hành thí nghiệm, Swinnen phát hiện thấy có thể tạo ra các tài khoản Instagram, Google và Microsoft Office 365, sau đó gắn một số điện thoại premium (trả phí) thay vì một số điện thoại thông thường.
Khi một trong ba công ty gọi đến số điện thoại của tài khoản để thông báo mã truy cập, số điện thoại nhận tin nhắn SMS trả phí sẽ đăng ký một cuộc gọi đến và sinh hóa đơn cho công ty.
Swinnen lập luận rằng tin tặc có thể tạo ra các dịch vụ điện thoại trả phí và giả mạo tài khoản Instagram, Google hay Microsoft, kết nối các tài khoản này với nhau.
Sử dụng các kịch bản tự động, Swinnen cho hay hacker có thể yêu cầu token 2FA cho tất cả các tài khoản, và bằng cách đó, thực hiện các cuộc gọi hợp pháp tới dịch vụ, kiếm về cho mình khoản lợi nhuận đáng kể.
Các cuộc tấn công mang lại lợi nhuận khổng lồ
Theo tính toán của Swinnen, về mặt lý thuyết nhà nghiên cứu này có thể kiếm về 2.066.000 € mỗi năm từ Instagram, 432.000 € mỗi năm từ Google và 669.000 € cho mỗi số điện thoại trả phí từ Microsoft.
Swinnen đã giải thích trên blog của mình rằng phương thức khai thác và chi tiết kỹ thuật đối với mỗi dịch vụ là khác nhau.
Nhà nghiên cứu đã báo cáo về nguy cơ tấn công đến cả ba dịch vụ, thông qua các chương trình trao thưởng của họ. Facebook đã thưởng 2.000 $, Microsoft đã thưởng $ 500 cho Swinnen và nhà nghiên cứu này được Google nhắc tên trong chương trình trao thưởng Hall of Fame của Google.
Hầu hết các công ty triển khai cơ chế xác thực 2 yếu tố (2FA) sẽ gửi các đoạn mã ngắn qua tin nhắn SMS đến người dùng của mình. Tùy trường hợp, người dùng có thể nhận được một cuộc gọi thoại từ robot để thông báo mã bằng giọng nói.
Những cuộc gọi thoại kiểu này thường được thực hiện tới số điện thoại chính thức được gắn với các tài khoản cụ thể.
Về lý thuyết, hacker cũng có thể nhắm đến các công ty khác
Khi tiến hành thí nghiệm, Swinnen phát hiện thấy có thể tạo ra các tài khoản Instagram, Google và Microsoft Office 365, sau đó gắn một số điện thoại premium (trả phí) thay vì một số điện thoại thông thường.
Khi một trong ba công ty gọi đến số điện thoại của tài khoản để thông báo mã truy cập, số điện thoại nhận tin nhắn SMS trả phí sẽ đăng ký một cuộc gọi đến và sinh hóa đơn cho công ty.
Swinnen lập luận rằng tin tặc có thể tạo ra các dịch vụ điện thoại trả phí và giả mạo tài khoản Instagram, Google hay Microsoft, kết nối các tài khoản này với nhau.
Sử dụng các kịch bản tự động, Swinnen cho hay hacker có thể yêu cầu token 2FA cho tất cả các tài khoản, và bằng cách đó, thực hiện các cuộc gọi hợp pháp tới dịch vụ, kiếm về cho mình khoản lợi nhuận đáng kể.
Các cuộc tấn công mang lại lợi nhuận khổng lồ
Theo tính toán của Swinnen, về mặt lý thuyết nhà nghiên cứu này có thể kiếm về 2.066.000 € mỗi năm từ Instagram, 432.000 € mỗi năm từ Google và 669.000 € cho mỗi số điện thoại trả phí từ Microsoft.
Swinnen đã giải thích trên blog của mình rằng phương thức khai thác và chi tiết kỹ thuật đối với mỗi dịch vụ là khác nhau.
Nhà nghiên cứu đã báo cáo về nguy cơ tấn công đến cả ba dịch vụ, thông qua các chương trình trao thưởng của họ. Facebook đã thưởng 2.000 $, Microsoft đã thưởng $ 500 cho Swinnen và nhà nghiên cứu này được Google nhắc tên trong chương trình trao thưởng Hall of Fame của Google.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: