Premium-Angriff auf Zwei-Wege-Authentifizierungen
"Sie haben alle einen Service im Angebot, bei dem der Nutzer über einen computergenerierten Anruf mit einem Token versorgt wurde - verifizierten aber nicht ausreichend, ob die hinterlegte Nummer auch bestimmten Kriterien entsprach", erklärte der Sicherheitsforscher. Bei Microsoft war es sogar möglich, immer die gleiche Premium-Nummer für eine große Zahl angelegter Accounts einzusetzen. Aber auch die Facebook-Tochter Instagram und Googles Gmail nahmen ohne Probleme Premium-Rufnummern entgegen.
Kommt Zeit, kommt Geld
Je nachdem, wie die jeweilige Nummer konfiguriert war, kostete jeder Token-Versand per SMS oder jeder automatische Anruf den Dienstebetreiber eine bestimmte Gebühr. Meist sind es mehrere Cent bis hin zu mehreren Euro, die vom Anbieter solcher Nummern dann an denjenigen weitergeleitet werden, der sie angemietet hat.Mit dem Verfahren gelingt es natürlich nicht, mit einem Mal größere Summen abzuräumen. Doch auch Kleinvieh macht bekanntlich Mist - und mit etwas Zeit und einer Reihe von Accounts hätten schon ordentliche Summen zusammenkommen können. Bei einem Dienst war es so beispielsweise möglich, alle 30 Minuten eine Nummer kontaktieren zu lassen, die ein Pfund (1,20 Euro) brachte. Am Tag machte das dann 48 Pfund und wenn es niemandem auffällt, hätte die Nummer über Wochen laufen können. Wenn man das Ganze dann gleich mit hundert Accounts macht, kommt in einem überschaubaren Zeitraum ein recht ordentlicher Betrag zusammen. Inzwischen sind die fraglichen Services besser abgesichert.