Clicky

Atacantes podrían robar millones a través de sistemas de verificación telefónica online

robar claves de verificación

Muchos sistemas pueden ser engañados para llamar a números de pago creados por los atacantes

Un último ataque demuestra lo difícil que es para los usuarios identificar números de teléfono con tarifas de llamadas de pago. Un investigador ha encontrado que podría haber ganado millones al abusar de los sistemas de verificación en línea con teléfonos utilizados por Google, Microsoft e Instagram.

Muchos sitios web y aplicaciones móviles permiten a los usuarios asociar un número de teléfono con su cuenta. Esto se puede utilizar para la autenticación de dos factores, para recuperar su cuenta o alguna otra opción de verificación. Muchos de estos sistemas se basan en códigos enviados a través de mensajes de texto, pero también ofrecen la opción de llamar al usuario y dictarles este tipo de códigos.

El año pasado un consultor de seguridad de TI belga llamado Arne Swinnen comenzó a preguntarse si al utilizar dichos sistemas los números introducidos por los usuarios tendrían cargos especiales unidos a ellos y se dispuso a probar varios servicios populares.

Swinnen comenzó en septiembre con Instagram y rápidamente descubrió que el servicio puede llamar a números de pago proporcionados por el usuario si no se introducen los códigos de seguridad de Instagram enviados a esos números a través de SMS dentro de una ventana de tres minutos. También encontró una forma de desencadenar este tipo de llamadas de Instagram, que están hechas desde California, en los últimos 17 segundos y a través de una API (interfaz de programación de aplicaciones) cada 30 segundos.

Swinnen contrató un número de teléfono que cuesta 0,06 libras esterlinas por minuto y, al abusar del sistema de Instagram, fue capaz de ganar 1 libra en 17 minutos. El ataque podría haber sido automatizado mediante el registro de números de teléfono y cuentas de Instagram adicionales para ganar miles de libras por día.

Facebook, que es propietaria de Instagram, dijo inicialmente que la investigación no se trataba de una vulnerabilidad, sino que forma parte de la forma en que fue pensado que trabajase el servicio. La compañía dijo que supervisa y bloquea los intentos de abuso, y los que se deslicen a través representan un riesgo aceptado.

Facebook afinó más tarde algunos límites de los tipos de llamada, hizo cambios en su servicio de llamadas salientes, y decidió premiar al investigador con una recompensa de US $ 2.000.

En febrero el investigador informó de un ataque similar a Google. Su servicio de autenticación de dos factores basado en el teléfono también estaba abierto a los abusos, aunque con un proceso más difícil.

Swinnen calcula que podría robar 12 euros al día con una única cuenta de Google y un número de tarificación adicional, una suma que podría ser multiplicada registrando más números y cuentas.

Google respondió diciendo que tiene mitigaciones para ello pero, debido a cómo funciona la industria de las telecomunicaciones, es imposible evitar por completo que suceda tal abuso.

La Oficina 365 del registro de ensayo de Microsoft, que requiere verificación por teléfono, fue la que resultó más madura para el abuso. El investigador encontró dos métodos de eludir los límites de frecuencia de llamadas existentes en el sitio web, que permiten hacer teóricamente más de 13 millones de llamadas al mismo número de pago.

Además, el servicio permite llamadas simultáneas, con una duración de unos 23 segundos. Con un número de teléfono que cobra 0,15 euros por minuto, el investigador fue capaz de ganar 1 euro en menos de un minuto.

Microsoft dijo que el impacto real de esta vulnerabilidad habría sido provocada por un socio de terceros que la empresa utiliza para el servicio de llamadas. Sin embargo, el vendedor ha decidido otorgar una recompensa de $ 500 y trabajar para solucionar el problema.

Si bien este tipo de ataque ha sido mitigado por Instagram, Google y Microsoft, hay más servicios y aplicaciones en línea que puedan ser vulnerables. La investigación de Swinnen, que hizo pública el viernes en una entrada de blog, pone de manifiesto lo difícil que es, en general, para las empresas y los consumidores diferenciar entre números de tarifa regular y de pago.

Jesus_Caceres