آخرین حملهی هکرها نشان میدهد که تایید هویت شمارههایی با تعرفهی بالا (Premium-rate telephone numbers، تلفنهایی هستند که از بسترهای خاصی برای انتقال داده استفاده میکنند اما در عوض هزینههای بالاتیر هم دارند) برای کاربران این تلفنها تا چه حد دشوار است. اخیرا یک محقق بلژیکی دریافته است که میتوان با سوءاستفاده از سیستم تایید موبایلی استفاده شده توسط گوگل، مایکروسافت، اینستاگرام و... به راحتی میلیونها دلار را به سرقت برد.
بسیاری از برنامهها و وبسایتها به کاربر اجازه میدهند که شماره تلفن خود را نیز با حساب کاربری مرتبط کند. شماره تلفن فرد برای احراز هویت دو مرحلهای یا بازگرداندن حساب در صورت فراموش کردن رمز آن به کار میرود. بسیاری از سیستمها بر پایهی کدهای ارسال شده از طریق پیامک کار میکنند. البته گاهی میتوان گزینهی تماس را نیز انتخاب کرد تا سیستم با شما تماس گرفته و کد را برایتان بخواند.
سال گذشته، یک مشاور حوزهی امنیت فناوری اطلاعات بلژیکی به نام آرن سوینن کنجکاو شد که بداند اگر شماره تلفنهای استفاده شده توسط کاربران از نوع تعرفه بالا یا پریمیوم ریت باشند چه اتفاقی میافتد. او چند سرویس مشابه و معروف را هم امتحان کرد تا به پاسخ برسد. او تحقیق خود را در ماه سپتامبر سال گذشته و با اینستاگرام آغاز کرد و به سرعت دریافت که اگر کدهای ارسال شده توسط ایسنتاگرام در ۳ دقیقه توسط کاربر استفاده نشوند، حتی اگر تلفن او تعرفهی تماس بالایی داشته باشد این کمپانی در هر صورت با او تماس خواهد گرفت. این محقق همچنین موفق شد از طریق یک API، راهی برای تکرار تماسهای اینستاگرام در هر ۳۰ ثانیه پیدا کند. این تماسها از کالیفرنیا گرفته شده و ۱۷ ثانیه طول میکشیدند.
سوینن از یک شماره تلفن استفاده کرد که برای هر دقیقه تماس، ۰.۰۶ پوند هزینه در بر داشت. او توانست با ۱۷ دقیقه سواستفاده از سرویس اینستاگرام، ۱ پوند به دست آورد. میتوان با استفاده از چندین حساب اینستاگرام و تعدادی شمارهتلفن، این حمله را شدت بخشید و روزانه هزاران پوند از این طریق به سرقت برد. فیسبوک که مالک اینستاگرام محسوب میشود، به این محقق نروژی گفته است که این یک آسیبپذیری محسوب نمیشود. فیسبوک مدعی است که حسابهایی را که در تلاش برای سوء استفاده باشند شناسایی و بلاک میکند و کسانی که این کار را انجام دهند باید ریسک آن را نیز بپذیرند. این کمپانی بعدها تصمیم گرفت که سرویس تماس خود را بررسی کرده و برخی محدودیتها را برای تماس با شماره تلفنهایی با تعرفهی بالا ایجاد کند. فیسبوک در نهایت تنها ۲۰۰۰ دلار به سوینن پاداش داد.
سوینن در ماه فوریه از حملهی جدید خود و این بار به گوگل خبر داد. این محقق توانسته بود از سیستم تایید هویت دو مرحلهای گوگل نیز سوء استفاده کند. البته این کار به مراتب سختتر از سوء استفاده از اینستاگرام بوده است. این محقق توانسته بود تنها با استفاده از یک حساب گوگل و یک شماره تلفن با تعرفهی تماس بالا، روزانه ۱۲ یورو را از این کمپانی به سرقت ببرد. این میزان با استفاده از چندین حساب گوگل و چند شماره تلفن به سادگی قابل افزایش است. گوگل در جواب گفته است که امکان سواستفاده از این طریق را تا حد ممکن کاهش داده است، اما به دلیل مشکلات موجود در نحوهی کار کرد شرکتهای مخابراتی، نمیتوان جلوی سواستفادههای این چنینی را به طور کامل گرفت.
سوینن توانسته است در بین تمامی گزینههای امتحان شده، بیشترین بهره را از فعالسازی تلفنی نسخهی آزمایشی آفیس ۳۶۵ ببرد. این محقق توانست دو راه برای دور زدن محدودیتهای نرخ تماس این وبسایت بیابد. شاید باور نکنید اما این فرد میتوانست کاری کند که مایکروسافت ۱۳ میلیون بار با شمارهی مورد نظر او تماس بگیرد! علاوه بر این، این سرویس اجازهی برقراری تماسهای هم زمان با هم را نیز میداد. این تماسها هر بار ۲۳ ثانیه طول کشیده و بهایی معادل ۰.۱۵ یورو بر دقیقه در پی داشتند. این محقق توانسته بود در کمتر از یک دقیقه یک یورو از این سرویس به سرقت ببرد! مایکروسافت در این مورد گفته است که اثر واقعی این آسیبپذیری بر شرکت دیگری خواهد بود که این کمپانی از آن برای برقراری تماسهای تلفنی خود استفاده میکند. این شرکت نیز تنها ۵۰۰ دلار به سوینن پاداش داد و تصمیم به رفع این مشکل گرفت.
اگرچه هماکنون تاثیر این نوع حملات برای اینستاگرام، گوگل و مایکروسافت بسیار کمتر شده است، اما هنوز هم کمپانیها و برنامههای بسیاری وجود دارند که از این نوع آسیبپذیری در امان نیستند. سوینن این تحقیق را در پستی در وبلاگ شخصی خود منتشر کرده و در آن بر دشوار بودن نحوهی تشخیص شمارههای معمولی و شمارههایی با نرخ مکالمهی گران برای هر دو گروه کمپانیها و مشتریان تاکید کرده است.