当前位置:主页>资 讯>安全动态>

电话验证靠谱? 双因子认证或助黑客致富


 

在前不久,我们刚刚了解到无孔不入的社会工程学攻击能够为双因子认证(Two-factor authentication,2FA)带来致命的打击。现在来自比利时的安全研究员Arne Swinnen又发现,利用一些大公司(如Google、微软、Instagram)提供的双因子认证里的电话语音验证服务漏洞,则能够从中赚取到高额的利润。

据悉,大多数部署了2FA的公司,当用户在其官网上注册后,都会发送短信认证码对用户的真实性验明正身。当然,用户也可以选择接收这些公司的电话呼叫,让语音机器人告诉你认证码是什么。

  部署2FA的公司都需要警惕

在实验中,Arne Swinnen发现,在注册Google、微软Office 365和Instagram的账户时,他可以使用一个普通的电话号码进行账号绑定,也可以将其与一个付费电话进行绑定。



 

注册谷歌账户时,双因子认证界面

而一旦这些公司使用付费电话来发送用户的身份认证码时,不法黑客便可以通过伪造Google、微软、Instagram账户,将付费电话与这些账号绑定。而一些提供付费电话的通讯平台则会依据接到付费电话的数量,为这些黑客返钱。



 

利用自动执行脚本攻击

如果利用自动执行脚本,一个攻击者可以要求上述公司向其伪造的所有账户发送电话的2FA认证,而这样便可以为其赢得了相当客观的利润。



 

攻击可获得的收益

  攻击会产生巨额利润

虽然由于各公司在提供2FA认证过程中的服务方法各有不同,让攻击时的技术细节也有不同的变化,但Swinnen在其博客中仍然描述了相应的细节。

据Swinnen推断,如果使用上述攻击手法,理论上一个攻击者每年可从Google获得43.2万英镑(约合383.34万元人民币),从微软能获得66.9万英镑(约合593.65万元人民币),从Instagram则能获得206.6万英镑(约合1833.29万元人民币),其产生的巨额利润可见一斑。

由此可见,各相关企业在防止暴力注册攻击等情况下,仅仅依靠双因子认证机制还远远不够,需要进一步部署更为细化的安全防护手段,来杜绝可能出现的新威胁。

(责任编辑:安博涛)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

利用谷歌、微软和Instagram的在线电话验证

利用谷歌、微软和Instagram的在线电话验证漏洞赚取数百万美元

在线电话的用户经常难以分辨哪些号码是要收费的,一位研究人员便从中发现,可利用谷歌...[详细]

皮卡丘将泄露中国军事机密?上传照片或将泄

皮卡丘将泄露中国军事机密?上传照片或将泄密

最近,一款使用了增强现实技术(AR)的“精灵宝可梦GO”手游风靡全球,中国很多游戏玩家...[详细]

乌云白帽子社区无法访问,官方回应正在升级

乌云白帽子社区无法访问,官方回应正在升级

2016年7月19日晚间消息,知名微博博主“互联网的那点事”在晚上11点发出消息,称国内...[详细]

电话验证靠谱? 双因子认证或助黑客致富

电话验证靠谱? 双因子认证或助黑客致富

在前不久,我们刚刚了解到无孔不入的社会工程学攻击能够为双因子认证(Two-factor auth...[详细]

玩游戏须谨慎:Pokémon GO可获取谷歌完整

玩游戏须谨慎:Pokémon GO可获取谷歌完整账户访问权限

 热门游戏Pokémon GO可通过令牌获取用户谷歌账户的完整账户访问权限,而不需要用户...[详细]

返回首页 返回顶部