Двухфакторная авторизация может стоить Facebook, Google, Microsoft и другим компаниям сотни тысяч евро. Бельгийский специалист по безопасности Арне Свиннен рассказал, как можно вытянуть деньги из популярных сервисов, используя недостатки двухфакторной авторизации.
Он предлагает обратиться к платным телефонным сервисам. Обычно такие приемы используются для выманивания денег у пользователей, здесь же под удар ставится компания.
Двухфакторная авторизация предполагает отправку SMS с кодом подтверждения на номер телефона пользователя, а в некоторых случаях можно также заказать звонок от сервиса с голосовым сообщением.
Регистрируя у мобильного телефона платный сервис, например, для SMS или звонков, можно использовать данные номера для учетных записей в социальных сетях или других местах. Такие платные сервисы предполагают более высокую тарификацию звонков и SMS, часть денег получает при этом организатор сервиса.
При попытке авторизации интернет-сервис будет связываться с пользователем по платному номеру, и деньги будут попадать на счет злоумышленника.
Свиннен подсчитал, что такая атака в теории может принести порядка 2 миллионов евро в год от Instagram, более 400 тысяч от Google и более 600 тысяч от Microsoft.
