Aggiornamenti recenti Aprile 23rd, 2024 2:00 PM
Lug 19, 2016 Marco Schiaffino Attacchi, News, Vulnerabilità 0
I sistemi di verifica per le registrazioni online prevedono spesso un clic su un link in un’email, o l’inserimento di un codice ricevuto via SMS. In alcuni casi, però, le aziende cercano di andare incontro a utenti e potenziali nuovi clienti utilizzando anche le chiamate telefoniche.
Il ricercatore Arne Swinnen si è accorto che questi sistemi hanno un “piccolo” difetto: non distinguono tra normali numeri telefonici e numeri premium, cioè quelli a pagamento che consentono al titolare di incassare denaro per ogni secondo di conversazione.
Forte di questa intuizione, Swinnen si è messo all’opera e ha provato a trasformare i servizi di chiamata automatica in una macchina da soldi. Com’era prevedibile, c’è riuscito.
Come spiega in un post sul suo blog, il primo servizio a finire nel mirino di Swinnen è stato Instagram. Il social network consente di collegare un numero di telefono al proprio account e, come verifica, invia un codice a sei cifre via SMS.
Se l’utente non inserisce il codice entro 3 minuti, però, Instagram effettua automaticamente una chiamata per comunicare a voce il codice. Stando a quanto riportato nel blog, Swinnen è riuscito a utilizzare uno script per fare in modo di ricevere chiamate a raffica dal servizio.
Secondo i suoi calcoli, un singolo account collegato a un numero a pagamento (0,006 sterline al minuto) consentirebbe di incassare fino a 48 sterline al giorno. Utilizzando questo metodo su 100 account contemporaneamente, si arriverebbe a 4.800 sterline al giorno, ovvero la bellezza di 1.728.000 di sterline all’anno.
Un problema simile, anche se con conseguenze potenzialmente ridotte, affligge il sistema di autenticazione a due fattori (2FA) di Google. I sistemi di autenticazione a due fattori sono lo strumento più efficace per tenere al sicuro le proprie credenziali di accesso ai vari servizi online.
Il concetto di base è quello di richiedere, oltre a user name e password, un codice aggiuntivo che viene generato ogni volta attraverso un dispositivo personale, di solito lo smartphone. Google consente di ottenere il codice in vari modi: tramite un’app dedicata, via SMS e… con una chiamata telefonica.
In questo caso, secondo Swinnen, le cose sono un po’ più complicate, soprattutto perché l’abbinamento tra account e numero telefonico deve essere univoco. Secondo i suoi calcoli, però, usando 100 account sarebbe stato possibile incassare la bellezza di 1.200 euro al giorno.
Le cose vanno molto peggio con il sistema di verifica utilizzato da Microsoft per il download della versione di prova di Office 365. Il sistema, in teoria, è impostato per smettere di chiamare lo stesso numero dopo il settimo tentativo a vuoto.
Swinnen, però, ha trovato una serie di metodi per ingannare il sistema e fare in modo che continuasse a chiamare lo stesso numero e, peggio ancora, si è accorto che esisteva la possibilità di fare in modo che le chiamate avvenissero in contemporanea. Risultato: secondo i suoi calcoli sarebbe stato possibile incassare 668.882 euro prima che il servizio si rifiutasse definitivamente di chiamare il numero.
Da questi ipotetici (quanto illeciti) guadagni, però, il buon Aren ha tratto anche un guadagno reale. La comunicazione di questa curiosa vulnerabilità alle aziende interessate gli ha fruttato la non disprezzabile somma di 2.500 dollari.
La ricompensa più cospicua (2.000 dollari) è arrivata da Instagram, mentre Microsoft si è limitata a una “taglia” di 500 dollari. Meno generosa Google, che non ha riconosciuto alcun compenso a Swinnen. Il suo nome, però, è stato inserito nella Google Hall Of Fame.
Gen 18, 2019 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 12, 2024 0
Al Google Next ’24 abbiamo assistito a un interessante...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...Apr 22, 2024 0
I cyber attacchi moderni riescono a colpire anche le...Apr 22, 2024 0
Il JPCERT Coordination Center, l’organizzazione...