Come ti truffo Microsoft, Instagram e Google… al telefono!

Lug 19, 2016 Marco Schiaffino Attacchi, News, Vulnerabilità 0

Molte aziende adottano sistemi di verifica automatici che contattano telefonicamente i clienti. Ma cosa succede se si inserisce un numero premium? Si possono incassare migliaia di euro.

I sistemi di verifica per le registrazioni online prevedono spesso un clic su un link in un’email, o l’inserimento di un codice ricevuto via SMS. In alcuni casi, però, le aziende cercano di andare incontro a utenti e potenziali nuovi clienti utilizzando anche le chiamate telefoniche.

Il ricercatore Arne Swinnen si è accorto che questi sistemi hanno un “piccolo” difetto: non distinguono tra normali numeri telefonici e numeri premium, cioè quelli a pagamento che consentono al titolare di incassare denaro per ogni secondo di conversazione.

Forte di questa intuizione, Swinnen si è messo all’opera e ha provato a trasformare i servizi di chiamata automatica in una macchina da soldi. Com’era prevedibile, c’è riuscito.

L’uso delle chiamate telefoniche è apprezzato dai clienti, ma espone a qualche rischio.

Come spiega in un post sul suo blog, il primo servizio a finire nel mirino di Swinnen è stato Instagram. Il social network consente di collegare un numero di telefono al proprio account e, come verifica, invia un codice a sei cifre via SMS.

Se l’utente non inserisce il codice entro 3 minuti, però, Instagram effettua automaticamente una chiamata per comunicare a voce il codice. Stando a quanto riportato nel blog, Swinnen è riuscito a utilizzare uno script per fare in modo di ricevere chiamate a raffica dal servizio.

Secondo i suoi calcoli, un singolo account collegato a un numero a pagamento (0,006 sterline al minuto) consentirebbe di incassare fino a 48 sterline al giorno. Utilizzando questo metodo su 100 account contemporaneamente, si arriverebbe a 4.800 sterline al giorno, ovvero la bellezza di 1.728.000 di sterline all’anno.

Un problema simile, anche se con conseguenze potenzialmente ridotte, affligge il sistema di autenticazione a due fattori (2FA) di Google. I sistemi di autenticazione a due fattori sono lo strumento più efficace per tenere al sicuro le proprie credenziali di accesso ai vari servizi online.

Il concetto di base è quello di richiedere, oltre a user name e password, un codice aggiuntivo che viene generato ogni volta attraverso un dispositivo personale, di solito lo smartphone. Google consente di ottenere il codice in vari modi: tramite un’app dedicata, via SMS e… con una chiamata telefonica.

Con Google, Swinnen ha faticato un po’ di più, ma le risorse non gli mancano.

In questo caso, secondo Swinnen, le cose sono un po’ più complicate, soprattutto perché l’abbinamento tra account e numero telefonico deve essere univoco. Secondo i suoi calcoli, però, usando 100 account sarebbe stato possibile incassare la bellezza di 1.200 euro al giorno.

Le cose vanno molto peggio con il sistema di verifica utilizzato da Microsoft per il download della versione di prova di Office 365. Il sistema, in teoria, è impostato per smettere di chiamare lo stesso numero dopo il settimo tentativo a vuoto.

Swinnen, però, ha trovato una serie di metodi per ingannare il sistema e fare in modo che continuasse a chiamare lo stesso numero e, peggio ancora, si è accorto che esisteva la possibilità di fare in modo che le chiamate avvenissero in contemporanea. Risultato: secondo i suoi calcoli sarebbe stato possibile incassare 668.882 euro prima che il servizio si rifiutasse definitivamente di chiamare il numero.

Da questi ipotetici (quanto illeciti) guadagni, però, il buon Aren ha tratto anche un guadagno reale. La comunicazione di questa curiosa vulnerabilità alle aziende interessate gli ha fruttato la non disprezzabile somma di 2.500 dollari.

La ricompensa più cospicua (2.000 dollari) è arrivata da Instagram, mentre Microsoft si è limitata a una “taglia” di 500 dollari. Meno generosa Google, che non ha riconosciuto alcun compenso a Swinnen. Il suo nome, però, è stato inserito nella Google Hall Of Fame.

Condividi l'articolo