Expert odhalil, jak by šlo okrást Google, Microsoft či Facebook o desetitisíce korun měsíčně

Expert odhalil, jak by šlo okrást Google, Microsoft či Facebook o desetitisíce korun měsíčně

Krást velkým společnostem desetitisíce korun měsíčně nemusí být až tak složité. Přišel na to bezpečnostní expert, který demonstroval jednoduché, ale efektivní a účinné schéma. Stačí k tomu pouze prémiové telefonní číslo a trocha trpělivosti. Na případ upozornil The Register.

Velké množství webových služeb či mobilních aplikací nabízí propojení telefonního čísla k uživatelskému účtu. To je potřebné pro založení účtu nebo na využívání dvoufaktorové autorizace. Ověřovací systémy zpravidla rozesílají krátké textové zprávy SMS s jednorázovým kódem.

Některé firmy však volitelně nabízí možnost nadiktovat doplňkový kód prostřednictvím telefonátu. Právě tuto variantu se rozhodl prozkoumat belgický bezpečnostní expert Arne Swinnen.

Ve svém výzkumu otestoval trojici populárních firem, respektive jejich služeb: Microsoft, Google a Instagram. Připojil k nim své prémiové telefonní číslo a vždy, když systém zavolal, aby mu oznámil jednorázový ověřovací kód, na účet přišlo pár desítek centů.

Instagram byl zlatý důl

S využitím hackerského nástroje se ze zanedbatelné částky mohou stát rázem tisíce. Stačí odhalit délku nucené přestávky mezi jednotlivými voláními, nastavit tento limit a nechat automatizovaný software pracovat.

Výzkumníkovi se ze služby Instagram podařilo ukrást jednu britskou libru (cca 33 Kč) za 30 minut. Vzhledem k plně automatizovanému procesu by útočník mohl vydělat s jedním prémiovým číslem teoreticky až 1 440 britských liber za měsíc (cca 47 tisíc korun). Samozřejmě se nabízí provozovat takto hned několik čísel a zisk znásobit.

Klepněte pro větší obrázek
Výpis z účtu prémiového čísla. Libra je vydělána.

Facebook provozující Instagram, se k chybě vyjadřovala nejprve skepticky, přičemž se odvolával na kontrolní mechanismy. Po hlubším prozkoumání však chybu uznal, přidali blíže nespecifikované monitorovací nástroje a za nalezení chyby udělili Swinnenovi odměnu ve výši 2 000 amerických dolarů.

Google je prý zajištěn dobře

Google má tento typ útoku o něco lépe ošetřen. Umožňuje provádět pouze deset telefonátů za hodinu. Přesto se dá získat 320 Kč za jeden den, respektive necelých 10 tisíc korun za měsíc.

Klepněte pro větší obrázek
Peníze vydělané voláním robota Googlu

V souvislosti s chybou vydala společnost prohlášení, v němž informovala, že využívá nástroje ke zmírnění rizika. Pokus o neoprávněné získání peněz tímto způsobem by byl údajně ve velmi krátkém čase zastaven. Za nalezení zranitelnosti nebyla udělena žádná finanční odměna.

Z Microsoftu se dalo vytěžit nejvíce

Testu neodolal ani Microsoft s produktem Office 365. Volání na prémiové číslo sice zablokoval po sedmi pokusech, ale ve službě bylo několik chyb. Před zadaným číslem mohlo být až 18 nul, což představuje dalších 18 pokusů. Aby toho nebylo málo, na konec čísla mohly být připojeny náhodné řetězce (například 1111) a hovor se úspěšně spojil.

Klepněte pro větší obrázek
Také z Microsoftu nějaké drobné vypadly. Pokud by se do toho někdo pustil naplno, mohly by to být i tisíce.

Navíc, Microsoft povoluje provádět více souběžných hovorů na jediné číslo. Bezpečnostní expert tedy odhadl, že za jednu minutu dokáže ukrást 1 euro. Potenciální útočník by prostřednictvím automatizace mohl získat obrovské množství peněz v krátkém čase.

Společnost opravila pouze chybu umožňující zadat před číslo 18 nul. Ostatní zranitelnosti údajně zůstaly neopravené. Výzkumník dostal za svou snahu odměnu ve výši 500 amerických dolarů (cca 12 tisíc korun).

Pro globální firmy je velmi náročné rozlišit telefonní čísla se zvýšenou sazbou od zcela běžných. Proto je prakticky nemožné efektivně zamezit podobným pokusům. Čtenáře upozorňujeme, aby podobné útočné scénáře nezkoušeli, jelikož zneužití uvedené chyby ve svůj prospěch může být klasifikováno jako nedovolené obohacování a tedy trestní čin.

Témata článku: Microsoft, Google, Facebook, Web, Bezpečnost, Sociální sítě, Instagram, Redmond, Finanční odměna, Google+, Jediné číslo, Libre Office, Desetitisíce, Odměna, Autorizace, Zlatý důl, Pokus, Ověřovací kód, Potenciální útočník, Podobný pokus

Určitě si přečtěte

Velká podzimní aktualizace Windows 10 je tady: Co přináší Fall Creators Update

Velká podzimní aktualizace Windows 10 je tady: Co přináší Fall Creators Update

** Po půl roce je tu další aktualizace Windows ** A opět přináší hlavně hromadu drobných kosmetických vylepšení ** Podívali jsme se na ty nejzajímavější

17.  10.  2017 | Jakub Čížek | 186

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

** Přečerpávací vodní elektrárna Dlouhé stráně je obdivuhodné technické dílo ** Stejná turbína vyrábí elektřinu i tlačí vodu zpět do horního jezera ** Strojovna elektrárny je zabudována v podzemí

19.  10.  2017 | David Polesný | 22

Přichází doba hypersonických zbraní. Hrozí zvýšené riziko jaderného konfliktu

Přichází doba hypersonických zbraní. Hrozí zvýšené riziko jaderného konfliktu

** Světové mocnosti vyvíjí nové, nesmírně rychlé zbraně ** Jsou schopné pokořit rychlost Mach 5 ** Tyto zbraně mohou zvýšit riziko rozpoutání válečného konfliktu

19.  10.  2017 | Stanislav Mihulka | 20


Aktuální číslo časopisu Computer

Nový seriál o programování elektroniky

Otestovali jsme 17 bezdrátových sluchátek

Jak na nákup vánočních dárků ze zahraničí

4 tankové tiskárny v přímém souboji