电话验证靠谱? 双因子认证或助黑客致富


在前不久,我们刚刚了解到无孔不入的社会工程学攻击能够为双因子认证(Two-factor authentication,2FA)带来致命的打击。现在来自比利时的安全研究员Arne Swinnen又发现,利用一些大公司(如Google、微软、Instagram)提供的双因子认证里的电话语音验证服务漏洞,则能够从中赚取到高额的利润。

据悉,大多数部署了2FA的公司,当用户在其官网上注册后,都会发送短信认证码对用户的真实性验明正身。当然,用户也可以选择接收这些公司的电话呼叫,让语音机器人告诉你认证码是什么。

部署2FA的公司都需要警惕

在实验中,Arne Swinnen发现,在注册Google、微软Office 365和Instagram的账户时,他可以使用一个普通的电话号码进行账号绑定,也可以将其与一个付费电话进行绑定。

电话验证靠谱? 双因子认证或助黑客致富

  注册谷歌账户时,双因子认证界面

而一旦这些公司使用付费电话来发送用户的身份认证码时,不法黑客便可以通过伪造Google、微软、Instagram账户,将付费电话与这些账号绑定。而一些提供付费电话的通讯平台则会依据接到付费电话的数量,为这些黑客返钱。

电话验证靠谱? 双因子认证或助黑客致富

  利用自动执行脚本攻击

如果利用自动执行脚本,一个攻击者可以要求上述公司向其伪造的所有账户发送电话的2FA认证,而这样便可以为其赢得了相当客观的利润。

电话验证靠谱? 双因子认证或助黑客致富

  攻击可获得的收益

攻击会产生巨额利润

虽然由于各公司在提供2FA认证过程中的服务方法各有不同,让攻击时的技术细节也有不同的变化,但Swinnen在其博客中仍然描述了相应的细节。

据Swinnen推断,如果使用上述攻击手法,理论上一个攻击者每年可从Google获得43.2万英镑(约合383.34万元人民币),从微软能获得66.9万英镑(约合593.65万元人民币),从Instagram则能获得206.6万英镑(约合1833.29万元人民币),其产生的巨额利润可见一斑。

由此可见,各相关企业在防止暴力注册攻击等情况下,仅仅依靠双因子认证机制还远远不够,需要进一步部署更为细化的安全防护手段,来杜绝可能出现的新威胁。

发表评论