Expert odhalil, jak by šlo okrást Google, Microsoft či Facebook o desetitisíce korun měsíčně

Expert odhalil, jak by šlo okrást Google, Microsoft či Facebook o desetitisíce korun měsíčně

Krást velkým společnostem desetitisíce korun měsíčně nemusí být až tak složité. Přišel na to bezpečnostní expert, který demonstroval jednoduché, ale efektivní a účinné schéma. Stačí k tomu pouze prémiové telefonní číslo a trocha trpělivosti. Na případ upozornil The Register.

Velké množství webových služeb či mobilních aplikací nabízí propojení telefonního čísla k uživatelskému účtu. To je potřebné pro založení účtu nebo na využívání dvoufaktorové autorizace. Ověřovací systémy zpravidla rozesílají krátké textové zprávy SMS s jednorázovým kódem.

Některé firmy však volitelně nabízí možnost nadiktovat doplňkový kód prostřednictvím telefonátu. Právě tuto variantu se rozhodl prozkoumat belgický bezpečnostní expert Arne Swinnen.

Ve svém výzkumu otestoval trojici populárních firem, respektive jejich služeb: Microsoft, Google a Instagram. Připojil k nim své prémiové telefonní číslo a vždy, když systém zavolal, aby mu oznámil jednorázový ověřovací kód, na účet přišlo pár desítek centů.

Instagram byl zlatý důl

S využitím hackerského nástroje se ze zanedbatelné částky mohou stát rázem tisíce. Stačí odhalit délku nucené přestávky mezi jednotlivými voláními, nastavit tento limit a nechat automatizovaný software pracovat.

Výzkumníkovi se ze služby Instagram podařilo ukrást jednu britskou libru (cca 33 Kč) za 30 minut. Vzhledem k plně automatizovanému procesu by útočník mohl vydělat s jedním prémiovým číslem teoreticky až 1 440 britských liber za měsíc (cca 47 tisíc korun). Samozřejmě se nabízí provozovat takto hned několik čísel a zisk znásobit.

Klepněte pro větší obrázek
Výpis z účtu prémiového čísla. Libra je vydělána.

Facebook provozující Instagram, se k chybě vyjadřovala nejprve skepticky, přičemž se odvolával na kontrolní mechanismy. Po hlubším prozkoumání však chybu uznal, přidali blíže nespecifikované monitorovací nástroje a za nalezení chyby udělili Swinnenovi odměnu ve výši 2 000 amerických dolarů.

Google je prý zajištěn dobře

Google má tento typ útoku o něco lépe ošetřen. Umožňuje provádět pouze deset telefonátů za hodinu. Přesto se dá získat 320 Kč za jeden den, respektive necelých 10 tisíc korun za měsíc.

Klepněte pro větší obrázek
Peníze vydělané voláním robota Googlu

V souvislosti s chybou vydala společnost prohlášení, v němž informovala, že využívá nástroje ke zmírnění rizika. Pokus o neoprávněné získání peněz tímto způsobem by byl údajně ve velmi krátkém čase zastaven. Za nalezení zranitelnosti nebyla udělena žádná finanční odměna.

Z Microsoftu se dalo vytěžit nejvíce

Testu neodolal ani Microsoft s produktem Office 365. Volání na prémiové číslo sice zablokoval po sedmi pokusech, ale ve službě bylo několik chyb. Před zadaným číslem mohlo být až 18 nul, což představuje dalších 18 pokusů. Aby toho nebylo málo, na konec čísla mohly být připojeny náhodné řetězce (například 1111) a hovor se úspěšně spojil.

Klepněte pro větší obrázek
Také z Microsoftu nějaké drobné vypadly. Pokud by se do toho někdo pustil naplno, mohly by to být i tisíce.

Navíc, Microsoft povoluje provádět více souběžných hovorů na jediné číslo. Bezpečnostní expert tedy odhadl, že za jednu minutu dokáže ukrást 1 euro. Potenciální útočník by prostřednictvím automatizace mohl získat obrovské množství peněz v krátkém čase.

Společnost opravila pouze chybu umožňující zadat před číslo 18 nul. Ostatní zranitelnosti údajně zůstaly neopravené. Výzkumník dostal za svou snahu odměnu ve výši 500 amerických dolarů (cca 12 tisíc korun).

Pro globální firmy je velmi náročné rozlišit telefonní čísla se zvýšenou sazbou od zcela běžných. Proto je prakticky nemožné efektivně zamezit podobným pokusům. Čtenáře upozorňujeme, aby podobné útočné scénáře nezkoušeli, jelikož zneužití uvedené chyby ve svůj prospěch může být klasifikováno jako nedovolené obohacování a tedy trestní čin.

Témata článku: Microsoft, Google, Facebook, Web, Bezpečnost, Sociální sítě, Instagram, Redmond, Libre Office

10 komentářů

Nejnovější komentáře

  • David Černoch 21. 7. 2016 18:17:04
    Tohle dělám už dva roky z ročním výdělkem kolem půl mega..B-]
  • Nargon 21. 7. 2016 13:46:51
    Hmm pokud vím tak čeští operátoři umí blokovat volání na tyto čísla se...
  • ehlo 21. 7. 2016 12:37:43
    Velmi zajímavé čtení, díky za něj. Překvapuje mne, že si to velké...
Určitě si přečtěte

Jak vybrat monitor k počítači: nenechte se zlákat nepodstatnými parametry

Jak vybrat monitor k počítači: nenechte se zlákat nepodstatnými parametry

** Na jaké parametry se zaměřit a kde vás výrobci chtějí nachytat ** Monitory se stále více specifikují pro konkrétní určení ** Náročný hráč nebo profesionální grafik mají různé požadavky

20.  6.  2017 | Tomáš Holčík | 31

Dlouhodobý test HTC Vive: co vám recenze o virtuální realitě neřeknou

Dlouhodobý test HTC Vive: co vám recenze o virtuální realitě neřeknou

** Ani hry se sebelepší grafikou vás nevtáhnou tolik, jako ve virtuální realitě ** Pro sledování filmů není VR ani zdaleka ideální ** I první generace je skvělá, stále však působí jako prototyp

20.  6.  2017 | Stanislav Janů | 22

Pojďme programovat elektroniku: Postavíme si titěrnou Wi-Fi meteostanici s lepším teploměrem než Netatmo

Pojďme programovat elektroniku: Postavíme si titěrnou Wi-Fi meteostanici s lepším teploměrem než Netatmo

** Dnes se podíváme na maličkou Wi-Fi destičku Wemos D1 mini ** A připojíme k ní barometrický a teplotní shield ** Poběží na ní web a nabídne i JSON API

18.  6.  2017 | Jakub Čížek | 28

Jak unikají informace o nových iPhonech? Třeba podprsenkami čínských pracovnic

Jak unikají informace o nových iPhonech? Třeba podprsenkami čínských pracovnic

** Na černém trhu mohou zaměstnanci továren za kradené součástky inkasovat částku ve výši ročního platu ** Velké množství informací je vyneseno i z centrály Applu ** Díly jsou pašovány v botách, podprsenkách i odpadem

21.  6.  2017 | Stanislav Janů | 24


Aktuální číslo časopisu Computer

Bojujeme proti Fake News

Dva velké testy: fotoaparáty a NASy

Co musíte vědět o změně evropského roamingu

Radíme s výběrem základní desky