هکرها به راحتی می توانند پول بدزدند!
محققان به تازگی متوجه شدهاند که هکرها میتوانند با نفوذ به سیستمهای آنلاین تایید پرداخت موبایلی، به راحتی میلیونها دلار را به سرقت ببرند.
zoomit.ir - محمد طولابی: محققان به تازگی متوجه شدهاند که هکرها میتوانند با نفوذ به سیستمهای آنلاین تایید پرداخت موبایلی، به راحتی میلیونها دلار را به سرقت ببرند.
آخرین حملهی هکرها نشان میدهد که تایید هویت شمارههایی با تعرفهی بالا (Premium-rate telephone numbers، تلفنهایی هستند که از بسترهای خاصی برای انتقال داده استفاده میکنند اما در عوض هزینههای بالاتری هم دارند) برای کاربران این تلفنها تا چه حد دشوار است. اخیرا یک محقق بلژیکی دریافته است که میتوان با سوءاستفاده از سیستم تایید موبایلی استفاده شده توسط گوگل، مایکروسافت، اینستاگرام و... به راحتی میلیونها دلار را به سرقت برد.
بسیاری از برنامهها و وبسایتها به کاربر اجازه میدهند که شماره تلفن خود را نیز با حساب کاربری مرتبط کند. شماره تلفن فرد برای احراز هویت دو مرحلهای یا بازگرداندن حساب در صورت فراموش کردن رمز آن به کار میرود. بسیاری از سیستمها بر پایهی کدهای ارسال شده از طریق پیامک کار میکنند. البته گاهی میتوان گزینهی تماس را نیز انتخاب کرد تا سیستم با شما تماس گرفته و کد را برایتان بخواند.
سال گذشته، یک مشاور حوزهی امنیت فناوری اطلاعات بلژیکی به نام آرن سوینن کنجکاو شد که بداند اگر شماره تلفنهای استفاده شده توسط کاربران از نوع تعرفه بالا یا پریمیوم ریت باشند چه اتفاقی میافتد. او چند سرویس مشابه و معروف را هم امتحان کرد تا به پاسخ برسد. او تحقیق خود را در ماه سپتامبر سال گذشته و با اینستاگرام آغاز کرد و به سرعت دریافت که اگر کدهای ارسال شده توسط ایسنتاگرام در ۳ دقیقه توسط کاربر استفاده نشوند، حتی اگر تلفن او تعرفهی تماس بالایی داشته باشد این کمپانی در هر صورت با او تماس خواهد گرفت. این محقق همچنین موفق شد از طریق یک API، راهی برای تکرار تماسهای اینستاگرام در هر ۳۰ ثانیه پیدا کند. این تماسها از کالیفرنیا گرفته شده و ۱۷ ثانیه طول میکشیدند.
سوینن از یک شماره تلفن استفاده کرد که برای هر دقیقه تماس، ۰.۰۶ پوند هزینه در بر داشت. او توانست با ۱۷ دقیقه سواستفاده از سرویس اینستاگرام، ۱ پوند به دست آورد. میتوان با استفاده از چندین حساب اینستاگرام و تعدادی شمارهتلفن، این حمله را شدت بخشید و روزانه هزاران پوند از این طریق به سرقت برد. فیسبوک که مالک اینستاگرام محسوب می شود، به این محقق نروژی گفته است که این یک آسیبپذیری محسوب نمیشود. فیسبوک مدعی است که حسابهایی را که در تلاش برای سوء استفاده باشند شناسایی و بلاک میکند و کسانی که این کار را انجام دهند باید ریسک آن را نیز بپذیرند. این کمپانی بعدها تصمیم گرفت که سرویس تماس خود را بررسی کرده و برخی محدودیتها را برای تماس با شماره تلفنهایی با تعرفه ی بالا ایجاد کند. فیسبوک در نهایت تنها ۲۰۰۰ دلار به سوینن پاداش داد.
سوینن در ماه فوریه از حملهی جدید خود و این بار به گوگل خبر داد. این محقق توانسته بود از سیستم تایید هویت دو مرحلهای گوگل نیز سوء استفاده کند. البته این کار به مراتب سختتر از سوء استفاده از اینستاگرام بوده است. این محقق توانسته بود تنها با استفاده از یک حساب گوگل و یک شماره تلفن با تعرفهی تماس بالا، روزانه ۱۲ یورو را از این کمپانی به سرقت ببرد. این میزان با استفاده از چندین حساب گوگل و چند شماره تلفن به سادگی قابل افزایش است. گوگل در جواب گفته است که امکان سواستفاده از این طریق را تا حد ممکن کاهش داده است، اما به دلیل مشکلات موجود در نحوهی کار کرد شرکتهای مخابراتی، نمیتوان جلوی سواستفادههای این چنینی را به طور کامل گرفت.
سوینن توانسته است در بین تمامی گزینههای امتحان شده، بیشترین بهره را از فعالسازی تلفنی نسخهی آزمایشی آفیس ۳۶۵ ببرد. این محقق توانست دو راه برای دور زدن محدودیتهای نرخ تماس این وبسایت بیابد. شاید باور نکنید اما این فرد میتوانست کاری کند که مایکروسافت ۱۳ میلیون بار با شمارهی مورد نظر او تماس بگیرد! علاوه بر این، این سرویس اجازهی برقراری تماسهای هم زمان با هم را نیز می داد. این تماسها هر بار ۲۳ ثانیه طول کشیده و بهایی معادل ۰.۱۵ یورو بر دقیقه در پی داشتند. این محقق توانسته بود در کمتر از یک دقیقه یک یورو از این سرویس به سرقت ببرد! مایکروسافت در این مورد گفته است که اثر واقعی این آسیبپذیری بر شرکت دیگری خواهد بود که این کمپانی از آن برای برقراری تماسهای تلفنی خود استفاده میکند. این شرکت نیز تنها ۵۰۰ دلار به سوینن پاداش داد و تصمیم به رفع این مشکل گرفت.
اگرچه هماکنون تاثیر این نوع حملات برای اینستاگرام، گوگل و مایکروسافت بسیار کمتر شده است، اما هنوز هم کمپانیها و برنامههای بسیاری وجود دارند که از این نوع آسیبپذیری در امان نیستند. سوینن این تحقیق را در پستی در وبلاگ شخصی خود منتشر کرده و در آن بر دشوار بودن نحوهی تشخیص شمارههای معمولی و شمارههایی با نرخ مکالمهی گران برای هر دو گروه کمپانیها و مشتریان تاکید کرده است.
تبلیغات متنی
-
چند ترانه خاص که این روزها بیشتر شنیده میشوند
-
ناو آمریکاییِ لینکلن از مرزهای ایران دور شد؟
-
ورود کاروان نظامی بزرگ آمریکا به عراق
-
ناوهای هواپیمابر آمریکا چگونه میتوانند بدون رادار و GPS حرکت کنند؟
-
فرهیختگان: بهترین زمان حمله آمریکا، الان بود
-
شریعتمداری: موسوی فراماسونر و کروبی کاسه لیسان غرب هستند
-
عناوین روزنامههای ورزشی امروز
-
عناوین روزنامههای امروز
-
این باورهای رایج درباره کبد چرب را کنار بگذارید
-
«بهروز وثوقی و عباس شباویز» در پشتصحنه قیصر
-
۷ توصیه کلیدی برای داشتن خواب شبانه بهتر
-
لندکروزر چینی قیمت خورد
-
ایران برای ۷ کشور عربی خلیج فارس خطونشان کشید!
-
واکنش رسمی عربستان به خبر حمایت از حمله به ایران
-
چرا بعضیها به بادمجان آلرژی دارند؟
-
چند ترانه خاص که این روزها بیشتر شنیده میشوند
-
ورود کاروان نظامی بزرگ آمریکا به عراق
-
فرهیختگان: بهترین زمان حمله آمریکا، الان بود
-
واکنش رسمی عربستان به خبر حمایت از حمله به ایران
-
توافق ایران با آمریکا وارد فاز تازهای شد
-
فرود هواپیمای مرموز روسی در تهران
-
ناو هواپیمابر لینکلن دریای عمان را ترک کرد
-
اختلال مجدد اینترنت در ایران طی ساعات اخیر
-
تصویر توجهبرانگیز از یکی از مجروحان انفجار بندرعباس
-
تماس مهمی که شبانه از آذربایجان با پزشکیان گرفته شد
-
فوری؛ نخست وزیر قطر وارد تهران شد
-
عراقچی با عکس تنگه هرمز به آمریکا پیغام داد
-
واکنش معنادار خبرنگار اکسیوس به توییت لاریجانی
-
بازتاب گسترده تصویر آسمان ایران از ساعاتی پیش
-
ترامپ باز هم ایران را تهدید کرد
-
کریسمسِ صداوسیمای ایران تا ابد عزادار شد
-
احکام برخی دستگیرشگان اعتراضات اخیر صادر شد
-
صابرین نیوز: ادعاهای کارشناس شبکه افق مضحک است!
-
ناو هواپیمابر لینکلن دریای عمان را ترک کرد
-
در ساعات اخیر مهدی قایدی در صدر چهرههای پربحث است
-
نعمیه نظامدوست: دلم میخواهد بمیرم
-
بازیکن خارجی استقلال آماده پخش زنده جنگ ایران و آمریکا شد!
-
تاییدنشده؛ شرط آمریکا برای انصراف از اقدام نظامی!
-
دو انفجار خبرساز در اهواز و بندرعباس
-
ترامپ امشب از یک تصمیم جدید درباره ایران خبر داد
-
رزمایش مشترک ایران، روسیه و چین تکذیب شد؟
-
در ساعات اخیر احتمال حمله آمریکا به ایران کاهش یافت
-
وضعیت تعطیلی مدارس تهران، شنبه ۱۱ بهمن
-
موضع عربستان درباره جنگ با ایران ۱۸۰ درجه تغییر کرد
-
پرواز پهپاد شناسایی ایران بر فراز خلیج فارس
بانک اطلاعات مشاغل تهران و کرج
-
سالن های آرایش و زیبایی
-
پزشکان پوست و مو
-
آموزشگاه آشپزی در تهران
-
گالری پوشاک
-
اخذ ویزا
-
کاشت ناخن
-
محصولات پزشکی
-
تدریس خصوصی
-
مزون و شوی لباس
-
اعزام دانشجو
-
خدمات آرایشی و زیبایی
-
خدمات درمانی
-
مدارس
-
طلا و جواهر و زیورآلات
-
صرافی
-
محصولات آرایش و زیبایی
-
خدمات حیوانات خانگی
-
مهد کودک
-
مبلمان
-
سیسمونی و نوزاد
-
مراکز درمانی
-
پت شاپ
-
رستوران و تهیه غذا
-
تعمیرات مبل در تهران
-
خدمات تفریح و سرگرمی
-
پزشکان متخصص
-
باشگاه های ورزشی
-
فست فودهای تهران
-
سرویس خواب
-
موبایل
-
دکتر زنان در تهران
-
فروشگاه ها و لوازم ورزشی
-
کافی شاپ و سفره خانه
-
دکوراسیون داخلی
-
لوازم خانگی
-
دندانپزشکان
-
آموزشگاه ها
-
صنایع غذایی
-
تزیینات داخلی
-
خدمات منزل
-
دندانپزشکی کودک
-
آموزشگاه زبان در تهران
-
تشریفات و موسسه پذیرایی
-
خدمات ساختمان
-
فروش و خدمات خودرو
-
پزشکان زیبایی و لاغری
-
آموزشگاه موسیقی
-
خدمات مجالس
-
قالیشویی در تهران
-
سایر خدمات
-
جراحی بینی و زیبایی
-
آموزشگاه هنری
-
آتلیه عکاسی
-
آژانس مسافرتی و هتل
ارسال نظر