E安全7月18日讯 比利时安全研究员Arne Swinnen发现通过双因素语音验证系统一年能从Facebook、Google和Microsoft公司盗窃数百万欧元。

　　许多部署双因素认证（2FA）的公司通过短信息服务向用户发送验证码。如果选择语音验证码，用户会接收到这些公司的语音电话，由机器人操作员大声念出验证码。

　　接收电话通常为与这些特定账户绑定的电话号码。

　　从理论上讲，攻击者还可以攻击其它公司

　　Swinnen通过实验发现，他可以创建Instagram、 Google以及Microsoft Office 365账号，然后与高费率（premium）电话号码绑定也不是常规号码。

　　当其中这三个公司向账户绑定的高费率电话号码提供验证码时，高费率号码将登记来电通话并向这些公司开具账单。

　　Swinnen认为，攻击者可以创建高费率电话服务和假Instagram、Google或Microsoft账号，并绑定。

　　Swinnen表示，攻击者能通过自动化脚本为所有账号申请双因素验证许可，将合法电话呼叫绑定至自己的服务并赚取可观利润。

　　攻击者可赚取暴利

　　根据Swinnen计算统计，从理论上讲，每年可以从Instagram赚取206.6万欧元，Google 43.2万欧元，以及Microsoft 66.9万欧元。

　　Swinnen通过漏洞报告奖励计划向这三家公司报告了攻击存在的可能性。Facebook给予他2000美元的奖励，Microsoft的奖励金额为500美元，Google在“Hall of Fame”（名人堂）中提及他。

　　Arne Swinnen先前还发现了Facebook的账户入侵漏洞，，并帮助Instagram修复登录机制，防止多种新型蛮力攻击。

分享让更多人看到