reklama

Expert odhalil, jak by šlo okrást Google, Microsoft či Facebook o desetitisíce korun měsíčně

Krást velkým společnostem desetitisíce korun měsíčně nemusí být až tak složité. Přišel na to bezpečnostní expert, který demonstroval jednoduché, ale efektivní a účinné schéma. Stačí k tomu pouze prémiové telefonní číslo a trocha trpělivosti. Na případ upozornil The Register.

Velké množství webových služeb či mobilních aplikací nabízí propojení telefonního čísla k uživatelskému účtu. To je potřebné pro založení účtu nebo na využívání dvoufaktorové autorizace. Ověřovací systémy zpravidla rozesílají krátké textové zprávy SMS s jednorázovým kódem.

Některé firmy však volitelně nabízí možnost nadiktovat doplňkový kód prostřednictvím telefonátu. Právě tuto variantu se rozhodl prozkoumat belgický bezpečnostní expert Arne Swinnen.

Ve svém výzkumu otestoval trojici populárních firem, respektive jejich služeb: Microsoft, Google a Instagram. Připojil k nim své prémiové telefonní číslo a vždy, když systém zavolal, aby mu oznámil jednorázový ověřovací kód, na účet přišlo pár desítek centů.

Instagram byl zlatý důl

S využitím hackerského nástroje se ze zanedbatelné částky mohou stát rázem tisíce. Stačí odhalit délku nucené přestávky mezi jednotlivými voláními, nastavit tento limit a nechat automatizovaný software pracovat.

Výzkumníkovi se ze služby Instagram podařilo ukrást jednu britskou libru (cca 33 Kč) za 30 minut. Vzhledem k plně automatizovanému procesu by útočník mohl vydělat s jedním prémiovým číslem teoreticky až 1 440 britských liber za měsíc (cca 47 tisíc korun). Samozřejmě se nabízí provozovat takto hned několik čísel a zisk znásobit.

Klepněte pro větší obrázek
Výpis z účtu prémiového čísla. Libra je vydělána.

Facebook provozující Instagram, se k chybě vyjadřovala nejprve skepticky, přičemž se odvolával na kontrolní mechanismy. Po hlubším prozkoumání však chybu uznal, přidali blíže nespecifikované monitorovací nástroje a za nalezení chyby udělili Swinnenovi odměnu ve výši 2 000 amerických dolarů.

Google je prý zajištěn dobře

Google má tento typ útoku o něco lépe ošetřen. Umožňuje provádět pouze deset telefonátů za hodinu. Přesto se dá získat 320 Kč za jeden den, respektive necelých 10 tisíc korun za měsíc.

Klepněte pro větší obrázek
Peníze vydělané voláním robota Googlu

V souvislosti s chybou vydala společnost prohlášení, v němž informovala, že využívá nástroje ke zmírnění rizika. Pokus o neoprávněné získání peněz tímto způsobem by byl údajně ve velmi krátkém čase zastaven. Za nalezení zranitelnosti nebyla udělena žádná finanční odměna.

Z Microsoftu se dalo vytěžit nejvíce

Testu neodolal ani Microsoft s produktem Office 365. Volání na prémiové číslo sice zablokoval po sedmi pokusech, ale ve službě bylo několik chyb. Před zadaným číslem mohlo být až 18 nul, což představuje dalších 18 pokusů. Aby toho nebylo málo, na konec čísla mohly být připojeny náhodné řetězce (například 1111) a hovor se úspěšně spojil.

Klepněte pro větší obrázek
Také z Microsoftu nějaké drobné vypadly. Pokud by se do toho někdo pustil naplno, mohly by to být i tisíce.

Navíc, Microsoft povoluje provádět více souběžných hovorů na jediné číslo. Bezpečnostní expert tedy odhadl, že za jednu minutu dokáže ukrást 1 euro. Potenciální útočník by prostřednictvím automatizace mohl získat obrovské množství peněz v krátkém čase.

Společnost opravila pouze chybu umožňující zadat před číslo 18 nul. Ostatní zranitelnosti údajně zůstaly neopravené. Výzkumník dostal za svou snahu odměnu ve výši 500 amerických dolarů (cca 12 tisíc korun).

Pro globální firmy je velmi náročné rozlišit telefonní čísla se zvýšenou sazbou od zcela běžných. Proto je prakticky nemožné efektivně zamezit podobným pokusům. Čtenáře upozorňujeme, aby podobné útočné scénáře nezkoušeli, jelikož zneužití uvedené chyby ve svůj prospěch může být klasifikováno jako nedovolené obohacování a tedy trestní čin.

Témata článku: Microsoft, Google, Web, Sociální sítě, Bezpečnost, Facebook, Instagram, Redmond

10 komentářů

Nejnovější komentáře

  • David Černoch 21. 7. 2016 18:17:04
    Tohle dělám už dva roky z ročním výdělkem kolem půl mega..B-]
  • Nargon 21. 7. 2016 13:46:51
    Hmm pokud vím tak čeští operátoři umí blokovat volání na tyto čísla se...
  • ehlo 21. 7. 2016 12:37:43
    Velmi zajímavé čtení, díky za něj. Překvapuje mne, že si to velké...
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 99

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

** Novinka od Asusu míří přímo proti MacBooku od Applu ** Nabídne daleko více výkonu za stejné peníze

2.  12.  2016 | David Polesný | 140

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

Včera | Jakub Čížek | 32


reklama