reklama

Expert odhalil, jak by šlo okrást Google, Microsoft či Facebook o desetitisíce korun měsíčně

Krást velkým společnostem desetitisíce korun měsíčně nemusí být až tak složité. Přišel na to bezpečnostní expert, který demonstroval jednoduché, ale efektivní a účinné schéma. Stačí k tomu pouze prémiové telefonní číslo a trocha trpělivosti. Na případ upozornil The Register.

Velké množství webových služeb či mobilních aplikací nabízí propojení telefonního čísla k uživatelskému účtu. To je potřebné pro založení účtu nebo na využívání dvoufaktorové autorizace. Ověřovací systémy zpravidla rozesílají krátké textové zprávy SMS s jednorázovým kódem.

Některé firmy však volitelně nabízí možnost nadiktovat doplňkový kód prostřednictvím telefonátu. Právě tuto variantu se rozhodl prozkoumat belgický bezpečnostní expert Arne Swinnen.

Ve svém výzkumu otestoval trojici populárních firem, respektive jejich služeb: Microsoft, Google a Instagram. Připojil k nim své prémiové telefonní číslo a vždy, když systém zavolal, aby mu oznámil jednorázový ověřovací kód, na účet přišlo pár desítek centů.

Instagram byl zlatý důl

S využitím hackerského nástroje se ze zanedbatelné částky mohou stát rázem tisíce. Stačí odhalit délku nucené přestávky mezi jednotlivými voláními, nastavit tento limit a nechat automatizovaný software pracovat.

Výzkumníkovi se ze služby Instagram podařilo ukrást jednu britskou libru (cca 33 Kč) za 30 minut. Vzhledem k plně automatizovanému procesu by útočník mohl vydělat s jedním prémiovým číslem teoreticky až 1 440 britských liber za měsíc (cca 47 tisíc korun). Samozřejmě se nabízí provozovat takto hned několik čísel a zisk znásobit.

Klepněte pro větší obrázek
Výpis z účtu prémiového čísla. Libra je vydělána.

Facebook provozující Instagram, se k chybě vyjadřovala nejprve skepticky, přičemž se odvolával na kontrolní mechanismy. Po hlubším prozkoumání však chybu uznal, přidali blíže nespecifikované monitorovací nástroje a za nalezení chyby udělili Swinnenovi odměnu ve výši 2 000 amerických dolarů.

Google je prý zajištěn dobře

Google má tento typ útoku o něco lépe ošetřen. Umožňuje provádět pouze deset telefonátů za hodinu. Přesto se dá získat 320 Kč za jeden den, respektive necelých 10 tisíc korun za měsíc.

Klepněte pro větší obrázek
Peníze vydělané voláním robota Googlu

V souvislosti s chybou vydala společnost prohlášení, v němž informovala, že využívá nástroje ke zmírnění rizika. Pokus o neoprávněné získání peněz tímto způsobem by byl údajně ve velmi krátkém čase zastaven. Za nalezení zranitelnosti nebyla udělena žádná finanční odměna.

Z Microsoftu se dalo vytěžit nejvíce

Testu neodolal ani Microsoft s produktem Office 365. Volání na prémiové číslo sice zablokoval po sedmi pokusech, ale ve službě bylo několik chyb. Před zadaným číslem mohlo být až 18 nul, což představuje dalších 18 pokusů. Aby toho nebylo málo, na konec čísla mohly být připojeny náhodné řetězce (například 1111) a hovor se úspěšně spojil.

Klepněte pro větší obrázek
Také z Microsoftu nějaké drobné vypadly. Pokud by se do toho někdo pustil naplno, mohly by to být i tisíce.

Navíc, Microsoft povoluje provádět více souběžných hovorů na jediné číslo. Bezpečnostní expert tedy odhadl, že za jednu minutu dokáže ukrást 1 euro. Potenciální útočník by prostřednictvím automatizace mohl získat obrovské množství peněz v krátkém čase.

Společnost opravila pouze chybu umožňující zadat před číslo 18 nul. Ostatní zranitelnosti údajně zůstaly neopravené. Výzkumník dostal za svou snahu odměnu ve výši 500 amerických dolarů (cca 12 tisíc korun).

Pro globální firmy je velmi náročné rozlišit telefonní čísla se zvýšenou sazbou od zcela běžných. Proto je prakticky nemožné efektivně zamezit podobným pokusům. Čtenáře upozorňujeme, aby podobné útočné scénáře nezkoušeli, jelikož zneužití uvedené chyby ve svůj prospěch může být klasifikováno jako nedovolené obohacování a tedy trestní čin.

Témata článku: Microsoft, Google, Web, Sociální sítě, Bezpečnost, Facebook, Instagram, Redmond, Libre Office

10 komentářů

Nejnovější komentáře

  • David Černoch 21. 7. 2016 18:17:04
    Tohle dělám už dva roky z ročním výdělkem kolem půl mega..B-]
  • Nargon 21. 7. 2016 13:46:51
    Hmm pokud vím tak čeští operátoři umí blokovat volání na tyto čísla se...
  • ehlo 21. 7. 2016 12:37:43
    Velmi zajímavé čtení, díky za něj. Překvapuje mne, že si to velké...
reklama
Určitě si přečtěte

Facebook o nás ví vše. Díky dobře skrytému vyhledávači se to dozví i ostatní

Facebook o nás ví vše. Díky dobře skrytému vyhledávači se to dozví i ostatní

** Facebook o nás ví vše, protože mu to sami řekneme ** V jeho nitru se skrývá mocný vyhledávač ** Mohou jej zneužít stalkeři, sociální inženýři a další nezbedníci

16.  2.  2017 | Jakub Čížek | 76

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

Včera | Jakub Čížek | 33

Nevyznáte se ve značení procesorů Intelu? Tady máte tahák

Nevyznáte se ve značení procesorů Intelu? Tady máte tahák

** Z označení procesorů Intelu se toho dá mnoho vyčíst ** Ze čtyř čísel se dozvíte něco o výkonu i grafickém jádru ** Poradíme, jak číst číselné označení i písmena na konci

13.  2.  2017 | Stanislav Janů | 37


Aktuální číslo časopisu Computer

Stavba 3D tiskárny

Výbava domácí elektrodílničky

Budoucnost 5G sítí

Velké testy microSD karet a vodních chladičů

Přehled mobilních tarifů

reklama
reklama