接收電話通常為與這些特定賬戶綁定的電話號(hào)碼。
從理論上講,攻擊者還可以攻擊其它公司Swinnen通過(guò)實(shí)驗(yàn)發(fā)現(xiàn),他可以創(chuàng)建Instagram、Google以及Microsoft Office365賬號(hào),然后與高費(fèi)率(premium)電話號(hào)碼綁定也不是常規(guī)號(hào)碼。當(dāng)其中這三個(gè)公司向賬戶綁定的高費(fèi)率電話號(hào)碼提供驗(yàn)證碼時(shí),高費(fèi)率號(hào)碼將登記來(lái)電通話并向這些公司開具賬單。Swinnen認(rèn)為,攻擊者可以創(chuàng)建高費(fèi)率電話服務(wù)和假Instagram、Google或Microsoft賬號(hào),并綁定。Swinnen表示,攻擊者能通過(guò)自動(dòng)化腳本為所有賬號(hào)申請(qǐng)雙因素驗(yàn)證許可,將合法電話呼叫綁定至自己的服務(wù)并賺取可觀利潤(rùn)。
攻擊者可賺取暴利
根據(jù)Swinnen計(jì)算統(tǒng)計(jì),從理論上講,每年可以從Instagram賺取206.6萬(wàn)歐元,Google43.2萬(wàn)歐元,以及Microsoft66.9萬(wàn)歐元。Swinnen通過(guò)漏洞報(bào)告獎(jiǎng)勵(lì)計(jì)劃向這三家公司報(bào)告了攻擊存在的可能性。Facebook給予他2000美元的獎(jiǎng)勵(lì),Microsoft的獎(jiǎng)勵(lì)金額為500美元,Google在“HallofFame”(名人堂)中提及他。
Arne Swinnen先前還發(fā)現(xiàn)了Facebook的賬戶入侵漏洞,并幫助Instagram修復(fù)登錄機(jī)制,防止多種新型蠻力攻擊。
