Ένας Βέλγος ερευνητής ασφαλείας, o Arne Swinnen, βρήκε έναν εφευρετικό τρόπο για να κλέψει χρήματα από εταιρείες όπως το Facebook (μέσω της υπηρεσίας Instagram), η Google και η Microsoft, χρησιμοποιώντας τα 2FA token συστήματα διανομής τους που βασίζονται στη φωνή.

Οι περισσότερες εταιρείες που χρησιμοποιούν το 2FA (Two-Factor Authentication) στέλνουν κωδικούς μέσω SMS στους χρήστες τους. Προαιρετικά, αν ο χρήστης το επιλέξει, μπορεί να λαμβάνει και μια φωνητική κλήση από την εταιρεία, κατά την οποία ένα ρομπότ-χειριστής λέει τον κωδικό φωναχτά.

Αυτά τα τηλεφωνήματα συνήθως γίνονται στον αριθμό κινητού που είναι επίσημα συνδεδεμένος με αυτούς τους ειδικούς λογαριασμούς.

Ο Swinnen ανακάλυψε στα πειράματά του ότι θα μπορούσε να δημιουργήσει Instagram, Google και Microsoft Office 365 λογαριασμούς, τους οποίους στη συνέχεια θα μπορούσε να τους συνδέσει με έναν premium αριθμό τηλεφώνου αντί για ένα κανονικό αριθμό τηλεφώνου.

Όταν ένα από αυτά τα τρία θα καλούσε τον αριθμό του τηλεφώνου του λογαριασμού για να πει στον χρήστη τον κωδικό πρόσβασής του, ο premium αριθμός SMS θα κατέγραφε την εισερχόμενη κλήση και θα χρέωνε τις επιχειρήσεις.

O Swinnen υποστηρίζει ότι οι επιτιθέμενοι θα μπορούσαν να δημιουργήσουν premium υπηρεσίες τηλεφωνίας και ψεύτικους λογαριασμούς Instagram, Google

ή Microsoft, που να συνδέονται.

Χρησιμοποιώντας αυτοματοποιημένα scripts, ο Swinnen λέει ότι ένας εισβολέας θα μπορούσε να ζητήσει 2FA tokens για όλους τους λογαριασμούς και με αυτόν τον τρόπο, τοποθετώντας νόμιμες τηλεφωνικές κλήσεις προς την υπηρεσία του, να βγάζει ένα συμπαθητικό κέρδος.

Σύμφωνα με τους υπολογισμούς του Swinnen, ο ίδιος θα μπορούσε θεωρητικά να αποκτήσει 2.066.000€ ετησίως από το Instagram, 432.000€ ετησίως από το Google και 669.000€ ανά premium αριθμό από τη Microsoft.

Οι τεχνικές και οι λεπτομέρειες του exploit είναι διαφορετικές για κάθε υπηρεσία και o Swinnen τα εξηγεί όλα στο blog του.

Ο ερευνητής ανέφερε την πιθανή επίθεση και στις τρεις υπηρεσίες, μέσω των bug bounty προγραμμάτων τους. Το Facebook αντάμειψε τον ερευνητή με $2.000, η Microsoft με $500 και η Google με μια αναφορά στο Hall of Fame στην εταιρεία της.

Ο Arne Swinnen είναι ο ίδιος ερευνητής που βρήκε ένα account takeover bug για το Facebook και αργότερα βοήθησε το Instagram να διορθώσει τον μηχανισμό σύνδεσης έναντι διαφόρων καινοτόμων brute-force επιθέσεων.