นักวิจัยพบช่องโหว่ในการหาเงินจากระบบ Two-Factor Authentication ของ Facebook, Google, Microsoft

บริการ Cloud ชั้นนำโดยทั่วไปนั้นมักจะมีระบบ Two-Factor Authentication ที่สามารถส่งข้อความยืนยันต่างๆ ผ่านทาง SMS ได้ แต่บางบริการนั้นก็เปิดให้มีการโทรเข้าไปตรวจสอบด้วยระบบอัตโนมัติแทน และนั่นก็เป็นช่องโหว่ให้ผู้โจมตีสามารถนำเบอร์โทรศัพท์ที่เป็น Premium Rate หรือผู้ที่โทรเข้าไปต้องจ่ายค่าบริการในอัตราพิเศษ สร้างเป็นรายได้ให้แก่ผู้โจมตีได้ (คล้ายๆ กับระบบ 1900 บ้านเราครับ)

Credit: ShutterStock.com
Credit: ShutterStock.com

ในงานวิจัยนี้ Arne Swinnen ที่ปรึกษาด้านความมั่นคงปลอดภัยชาวเบลเยี่ยม ได้ทดลองเปิดบริการ Premium Rate Number ในอังกฤษที่สามารถสร้างรายรับได้ประมาณ 1 ปอนด์จากการโทรทุกๆ 17 นาที หรือราวๆ 46.3 บาท และทำการศึกษาขั้นตอนการทำงานของ Instagram เพื่อให้ทาง Instagram ทำการโทรหาเบอร์นี้หลังจากที่มีการส่ง Security Code มาทาง SMS มาแล้วไม่มีการตอบรับ ซึ่งทาง Facebook ที่เป็นเจ้าของ Instagram ทราบถึงประเด็นนี้ก็ออกมาโต้ตอบว่านี่ไม่ใช่ช่องโหว่ แต่เป็นความตั้งใจให้ระบบทำงานแบบนี้อยู่แล้ว และก็ทำการปรับ Rate Limit ให้กับการโทรพร้อมให้รางวัล Swinnen ไป 2,000 เหรียญหรือราวๆ 70,000 บาท

หลังจากนั้นในเดือนกุมภาพันธ์ที่ผ่านมา Swinnen ก็พบช่องโหว่คล้ายๆ กันใน Google ที่ขั้นตอนยุ่งยากกว่าเดิมในการโจมตี แต่ก็ทำให้สามารถขโมยเงินออกมาจากระบบได้ถึง 12 ยูโรต่อวัน หรือราวๆ 464.4 บาทต่อ Google Account ซึ่ง Google ก็ออกมาโต้ตอบว่าได้พยายามป้องกันอย่างดีที่สุดแล้ว แต่ปัญหานี้เป็นปัญหาที่เกิดจากระบบโทรคมนาคมพื้นฐาน และไม่สามารถอุดช่องโหว่ได้อย่างสมบูรณ์

ส่วน Microsoft Office 365 เองนั้นก็สามารถถูกโจมตีด้วยวิธีการเดียวกันผ่านการทำ Trial Registration ได้ โดย Swinnen ค้นพบสองวิธีการในการ Bypass ระบบ Call Rate Limit และทำให้เขาสามารถหาเงินได้อย่างรวดเร็วด้วยอัตรา 1 ยูโรหรือราวๆ 38.7 บาทภายในเวลาไม่ถึง 1 นาทีเท่านั้น และ Microsoft ก็ออกมาโต้ตอบว่าจริงๆ แล้วคนที่ต้องจ่ายเงินในส่วนนี้คือ Third Party ที่ Microsoft ใช้บริการอยู่ แต่ก็ยังให้เงินค่าตอบแทนแก่ Swinnen 500 เหรียญหรือราวๆ 17,500 บาทจากการแจ้งช่องโหว่นี้ และพยายามจะแก้ไขช่องโหว่นี้ต่อไปให้ได้

แต่ละองค์กรเองถ้ามีบริการลักษณะนี้ ก็ต้องระวังการโจมตีเพื่อขโมยเงินแบบนี้ไปนะครับ การโจมตีแบบนี้เคยแพร่หลายมาแล้วในเหล่าระบบ IP Telephony ขององค์กรมาแล้ว

ที่มา: http://www.networkworld.com/article/3096809/attackers-could-steal-millions-through-online-phone-verification-systems.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รีวิว: TP-Link Omada EAP670 AX5400 – Wi-Fi 6 Access Point ระดับ High-end Business รุ่นใหม่

Wi-Fi เป็นหนึ่งในการเชื่อมต่อที่สำคัญที่สุดขององค์กร บทความนี้ TechTalkThai จะมารีวิว Omada EAP670 AX5400 ซึ่งเป็น Access Point มาตรฐาน Wi-Fi 6 รุ่นใหม่ล่าสุดจาก …

Orbx ได้เปิดตัวสนามบินภูเก็ต (VTSP) สำหรับ Microsoft Flight Simulator แล้ว

สนามบินภูเก็ต มีความหนาแน่นที่สุดอันดับ 2 ของประเทศไทย จึงมีเครื่องบินและสายการบินมาเยี่ยมเป็นประจำไม่ขาดสาย ในแต่ละปีมีผู้โดยสารกว่า 16 ล้านคนที่เดินทางผ่านประตูท่าอากาศยานนานาชาติภูเก็ต เนื่องจากเป็นสถานที่ที่นักท่องเที่ยวนิยมเดินทางมาพักผ่อนและเพลิดเพลินไปกับชายหาดที่งดงาม ดื่มด่ำกับธรรมชาติเขตร้อน และเมืองที่มีชีวิตชีวาในความเป็นเกาะฝั่งอันดามัน