یافتن راهی برای سرقت پول از اینستاگرام، گوگل و مایکروسافت توسط محققان

محققی بلژیکی به نام آرن سوینن راهی هوشمندانه برای سرقت پول از شرکت‌هایی مثل فیسبوک (از طریق اینستاگرام)، گوگل و مایکروسافت با استفاده از سامانه‌های آن‌ها پیدا کرده است.

بسیاری از شرکت‎هایی که قابلیت احراز هویت دوعاملی را توسعه داده‌اند از طریق ارسال اس‌ام‌اس این کد را به کاربران ارسال می‌‌کنند. ‌اگر کاربر گزینه دیگری انتخاب کند، از طرف شرکت تماسی با وی گرفته می‌شود و اپراتور ربات کد را با صدای بلند می‌خواند.

این حمله‌ها علیه شرکت‌های دیگری نیز می‌توانند صورت بگیرند.

سوینن طی تحقیقاتش متوجه شد که می‌تواند حساب‌هایی برای اینستاگرام، گوگل و مایکروسافت آفیس ۳۶۵ بسازد و سپس به‌جای اینکه به یک شماره تلفن عادی زنگ بزند به یک شماره تلفن پولی وصل شود.

وقتی‌که هرکدام از این سه شبکه با شماره تلفن ثبت‌شده در حساب تماس بگیرند، شماره پیامک پولی تماس وارده را ثبت و برای شرکت قبض می‌فرستد.

سوینن گفت که مهاجمان می‌توانند چنین خدمات تلفنی را راه انداخته و حساب‌های اینستاگرام، گوگل و مایکروسافت جعلی ساخته و چنین تماسی برقرار کنند.

او گفت که مهاجم می‌تواند با استفاده از اسکریپت خودکار، رمزهای ۲FA را برای تمامی حساب‌ها درخواست کرده و با انجام این کار تماس‌هایی تلفنی به خدمات خودش برقرار کند و پول قابل‌توجهی به جیب بزند.

حملات منتهی به سودهای هنگفت

طبق محاسبات نظری سوینن، با این روش می‌توان سالانه ۲۰۶۶۰۰۰ یورو از اینستاگرام، ۴۳۲۰۰۰ یورو از گوگل و ۶۶۱۰۰۰ یورو بابت هر شماره از مایکروسافت دریافت کند. جزئیات فنی مورد استفاده برای هرکدام از این شبکه‌های اجتماعی متفاوت است.

این محقق با گزارش این حمله احتمالی به این سه شرکت جایزه‌ای دریافت کرد. فیسبوک ۲۰۰۰ دلار و مایکروسافت ۵۰۰ دلار و گوگل نیز طبق رأی شورای خود به وی جایزه‌ای اعطا نمودند.

آرن سوینن همان محققی است که رخنه‌ای در فیسبوک پیدا کرد و به اینستاگرام در وصله مکانیسم ورودی این شبکه علیه حملات جستجوی فراگیر هوشمندانه کمک کرد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.