Белгийският експерт по киберсигурността Арне Суинен е открил иновативен начин да се откраднат пари от компании като Facebook (през приложението Instagram), Google и Microsoft, използвайки тяхната двуфакторна автентикация (2FA).

Повечето компании, които използват 2FA изпращат кратки кодове на SMS на техните потребители. Допълнително, ако потребителят реши, може да получи гласово обаждане от компанията, по време на което бот прочита кода на глас.

Тези телефонни обаждания обикновено са до телефонния номер, свързан с конкретния профил.

Подобни атаки теоретично биха могли да действат и според други компании.

В своя експеримент Суинен открива, че може да създаде профили в Instagram, Google и Microsoft Office 365, които след това да обвърже с платен номер, вместо с обикновен.

Когато някоя от трите компании се обади на този номер, за да съобщи на потребителя кода за достъп, платеният номер ще регистрира входящо обаждане и ще ги таксува.

Според Суинер недоброжелатели биха могли да създадат фалшиви профили в Instagram, Google или Microsoft и да ги обвържат с подобни номера.

Използвайки автоматизирани скриптове недоброжелателят би могъл да регистрира платени телефони и да изисква 2FA кодовете за всички профили, вследствие на което компаниите да се свързват с посочения телефонен номер и да му донесат прилична печалба.

По изчисления на Суинен, той би могъл теоретично да извлича 2 066 000 евро годишна от Instagram, по 432 000 евро на година от Google и по 669 000 евро от Microsoft.

Техническите детайли са различни за всяка услуга, а Суинен обяснява по-подробно за тях в блога си.

Суинен се е свързал с трите компании, за да ги информира за този техен пропуск. От Facebook го наградили с 2 000 долара, от Microsoft с 500 долара, а Google го качили на своята Стена на славата.