TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
บริการ Cloud ชั้นนำโดยทั่วไปนั้นมักจะมีระบบ Two-Factor Authentication ที่สามารถส่งข้อความยืนยันต่างๆ ผ่านทาง SMS ได้ แต่บางบริการนั้นก็เปิดให้มีการโทรเข้าไปตรวจสอบด้วยระบบอัตโนมัติแทน และนั่นก็เป็นช่องโหว่ให้ผู้โจมตีสามารถนำเบอร์โทรศัพท์ที่เป็น Premium Rate หรือผู้ที่โทรเข้าไปต้องจ่ายค่าบริการในอัตราพิเศษ สร้างเป็นรายได้ให้แก่ผู้โจมตีได้ (คล้ายๆ กับระบบ 1900 บ้านเราครับ)
ในงานวิจัยนี้ Arne Swinnen ที่ปรึกษาด้านความมั่นคงปลอดภัยชาวเบลเยี่ยม ได้ทดลองเปิดบริการ Premium Rate Number ในอังกฤษที่สามารถสร้างรายรับได้ประมาณ 1 ปอนด์จากการโทรทุกๆ 17 นาที หรือราวๆ 46.3 บาท และทำการศึกษาขั้นตอนการทำงานของ Instagram เพื่อให้ทาง Instagram ทำการโทรหาเบอร์นี้หลังจากที่มีการส่ง Security Code มาทาง SMS มาแล้วไม่มีการตอบรับ ซึ่งทาง Facebook ที่เป็นเจ้าของ Instagram ทราบถึงประเด็นนี้ก็ออกมาโต้ตอบว่านี่ไม่ใช่ช่องโหว่ แต่เป็นความตั้งใจให้ระบบทำงานแบบนี้อยู่แล้ว และก็ทำการปรับ Rate Limit ให้กับการโทรพร้อมให้รางวัล Swinnen ไป 2,000 เหรียญหรือราวๆ 70,000 บาท
หลังจากนั้นในเดือนกุมภาพันธ์ที่ผ่านมา Swinnen ก็พบช่องโหว่คล้ายๆ กันใน Google ที่ขั้นตอนยุ่งยากกว่าเดิมในการโจมตี แต่ก็ทำให้สามารถขโมยเงินออกมาจากระบบได้ถึง 12 ยูโรต่อวัน หรือราวๆ 464.4 บาทต่อ Google Account ซึ่ง Google ก็ออกมาโต้ตอบว่าได้พยายามป้องกันอย่างดีที่สุดแล้ว แต่ปัญหานี้เป็นปัญหาที่เกิดจากระบบโทรคมนาคมพื้นฐาน และไม่สามารถอุดช่องโหว่ได้อย่างสมบูรณ์
ส่วน Microsoft Office 365 เองนั้นก็สามารถถูกโจมตีด้วยวิธีการเดียวกันผ่านการทำ Trial Registration ได้ โดย Swinnen ค้นพบสองวิธีการในการ Bypass ระบบ Call Rate Limit และทำให้เขาสามารถหาเงินได้อย่างรวดเร็วด้วยอัตรา 1 ยูโรหรือราวๆ 38.7 บาทภายในเวลาไม่ถึง 1 นาทีเท่านั้น และ Microsoft ก็ออกมาโต้ตอบว่าจริงๆ แล้วคนที่ต้องจ่ายเงินในส่วนนี้คือ Third Party ที่ Microsoft ใช้บริการอยู่ แต่ก็ยังให้เงินค่าตอบแทนแก่ Swinnen 500 เหรียญหรือราวๆ 17,500 บาทจากการแจ้งช่องโหว่นี้ และพยายามจะแก้ไขช่องโหว่นี้ต่อไปให้ได้
แต่ละองค์กรเองถ้ามีบริการลักษณะนี้ ก็ต้องระวังการโจมตีเพื่อขโมยเงินแบบนี้ไปนะครับ การโจมตีแบบนี้เคยแพร่หลายมาแล้วในเหล่าระบบ IP Telephony ขององค์กรมาแล้ว
