هکرها می توانند میلیون ها دلار از طریق سیستم آنلاین تایید موبایلی سرقت کنند

آخرین حمله‌‌ی هکرها نشان می‌دهد که تایید هویت شماره‌هایی با تعرفه‌ی بالا (Premium-rate telephone numbers، تلفن‌هایی هستند که از بسترهای خاصی برای انتقال داده استفاده می‌کنند اما در عوض هزینه‌های بالاتیر هم دارند) برای کاربران این تلفن‌ها تا چه حد دشوار است. اخیرا یک محقق بلژیکی دریافته است که می‌توان با سوء‌استفاده از سیستم تایید موبایلی استفاده شده توسط گوگل، مایکروسافت، اینستاگرام و... به راحتی میلیون‌ها دلار را به سرقت برد.

 بسیاری از برنامه‌ها و وبسایت‌ها به کاربر اجازه می‌دهند که شماره تلفن خود را نیز با حساب کاربری مرتبط کند. شماره تلفن فرد برای احراز هویت دو مرحله‌ای یا بازگرداندن حساب در صورت فراموش کردن رمز آن به کار می‌رود. بسیاری از سیستم‌ها بر پایه‌ی کدهای ارسال شده از طریق پیامک کار می‌کنند. البته گاهی می‌توان گزینه‌ی تماس را نیز انتخاب کرد تا سیستم با شما تماس گرفته و کد را برایتان بخواند.

سال گذشته، یک مشاور حوزه‌ی امنیت فناوری اطلاعات بلژیکی به نام آرن سوینن کنجکاو شد که بداند اگر شماره تلفن‌های استفاده شده توسط کاربران از نوع تعرفه بالا یا پریمیوم ریت باشند چه اتفاقی می‌افتد. او چند سرویس مشابه و معروف را هم امتحان کرد تا به پاسخ برسد. او تحقیق خود را در ماه سپتامبر سال گذشته و با اینستاگرام آغاز کرد و به سرعت دریافت که اگر کدهای ارسال شده توسط ایسنتاگرام در ۳ دقیقه توسط کاربر استفاده نشوند، حتی اگر تلفن او تعرفه‌ی تماس بالایی داشته باشد این کمپانی در هر صورت با او تماس خواهد گرفت. این محقق همچنین موفق شد از طریق یک API،‌ راهی برای تکرار تماس‌های اینستاگرام در هر ۳۰ ثانیه پیدا کند. این تماس‌ها از کالیفرنیا گرفته شده و ۱۷ ثانیه طول می‌کشیدند.

سوینن از یک شماره تلفن استفاده کرد که برای هر دقیقه تماس، ۰.۰۶ پوند هزینه در بر داشت. او توانست با ۱۷ دقیقه سواستفاده از سرویس اینستاگرام، ۱ پوند به دست آورد. می‌توان با استفاده از چندین حساب اینستاگرام و تعدادی شماره‌تلفن، این حمله را شدت بخشید و روزانه هزاران پوند از این طریق به سرقت برد. فیسبوک که مالک اینستاگرام محسوب می شود، به این محقق نروژی گفته است که این یک آسیب‌پذیری محسوب نمی‌شود. فیسبوک مدعی است که حساب‌هایی را که در تلاش برای سوء استفاده باشند شناسایی و بلاک می‌کند و کسانی که این کار را انجام دهند باید ریسک آن را نیز بپذیرند. این کمپانی بعدها تصمیم گرفت که سرویس تماس خود را بررسی کرده و برخی محدودیت‌ها را برای تماس با شماره تلفن‌هایی با تعرفه ی بالا ایجاد کند. فیسبوک در نهایت تنها ۲۰۰۰ دلار به سوینن پاداش داد.

سوینن در ماه فوریه از حمله‌ی جدید خود و این بار به گوگل خبر داد. این محقق توانسته بود از سیستم تایید هویت دو مرحله‌ای گوگل نیز سوء استفاده کند. البته این کار به مراتب سخت‌تر از سوء استفاده از اینستاگرام بوده است. این محقق توانسته بود تنها با استفاده از یک حساب گوگل و یک شماره تلفن با تعرفه‌ی تماس بالا، روزانه ۱۲ یورو را از این کمپانی به سرقت ببرد. این میزان با استفاده از چندین حساب گوگل و چند شماره تلفن به سادگی قابل افزایش است. گوگل در جواب گفته است که امکان سواستفاده از این طریق را تا حد ممکن کاهش داده است، اما به دلیل مشکلات موجود در نحوه‌ی کار کرد شرکت‌های مخابراتی، نمی‌توان جلوی سواستفاده‌های این چنینی را به طور کامل گرفت.

سوینن توانسته است در بین تمامی گزینه‌های امتحان شده، بیشترین بهره را از فعال‌سازی تلفنی نسخه‌ی آزمایشی آفیس ۳۶۵  ببرد. این محقق توانست دو راه برای دور زدن محدودیت‌های نرخ تماس این وبسایت بیابد. شاید باور نکنید اما این فرد می‌توانست کاری کند که مایکروسافت ۱۳ میلیون بار با شماره‌ی مورد نظر او تماس بگیرد! علاوه بر این، این سرویس اجازه‌ی برقراری تماس‌های هم زمان با هم را نیز می داد. این تماس‌ها هر بار ۲۳ ثانیه طول کشیده و بهایی معادل ۰.۱۵ یورو بر دقیقه در پی داشتند. این محقق توانسته بود در کمتر از یک دقیقه یک یورو از این سرویس به سرقت ببرد! مایکروسافت در این مورد گفته است که اثر واقعی این آسیب‌پذیری بر شرکت دیگری خواهد بود که این کمپانی از آن برای برقراری تماس‌های تلفنی خود استفاده می‌کند. این شرکت نیز تنها ۵۰۰ دلار به سوینن پاداش داد و تصمیم به رفع این مشکل گرفت.

اگرچه هم‌اکنون تاثیر این نوع حملات برای اینستاگرام، گوگل و مایکروسافت بسیار کمتر شده است، اما هنوز هم کمپانی‌ها و برنامه‌های بسیاری وجود دارند که از این نوع آسیب‌پذیری در امان نیستند. سوینن این تحقیق را در پستی در وبلاگ شخصی خود منتشر کرده و در آن بر دشوار بودن نحوه‌ی تشخیص شماره‌های معمولی و شماره‌هایی با نرخ مکالمه‌ی گران برای هر دو گروه کمپانی‌ها و مشتریان تاکید کرده است.