X

So hätte man Microsoft, Google und Facebook Geld klauen können

Die größte Herausforderung bei der Absicherung von Prozessen gegen Angriffe ist es immer wieder, erst einmal auf alle erdenklichen Ideen zu kommen, die einem möglichen Angreifer einfallen könnten. Das zeigt eine Schwachstelle, mit der man Internet-Unternehmen respektable Mengen an Geld hätte stehlen können.
19.07.2016  13:55 Uhr
Ob vor dem Sicherheitsforscher Arne Swinnen schon jemand auf die Idee kam, ist unbekannt. Wäre ein Unternehmen zuvor betroffen gewesen, hätte es wohl schlicht geschwiegen. Allerdings wäre die Schwachstelle dann wohl auch nicht mehr auszunutzen gewesen. Letzteres weist darauf hin, dass zumindest bei Microsoft, Google und Facebook vor der Kontaktaufnahme Swinnens noch niemand mit entsprechenden Gaunereien konfrontiert gewesen ist. Es stellte sich bei Tests zumindest heraus, dass die genannten Unternehmen nur unzureichend prüften, welche Telefonnummern ein Nutzer für eine Zwei-Wege-Authentifizierung hinterlegte. Swinnen gelang es dadurch, teilweise gleich eine ganze Reihe von Accounts mit einer Nummer zu verknüpfen, die eigentlich für den Einsatz mit Premium-Diensten gedacht war.

Premium-Angriff auf Zwei-Wege-Authentifizierungen

"Sie haben alle einen Service im Angebot, bei dem der Nutzer über einen computergenerierten Anruf mit einem Token versorgt wurde - verifizierten aber nicht ausreichend, ob die hinterlegte Nummer auch bestimmten Kriterien entsprach", erklärte der Sicherheitsforscher. Bei Microsoft war es sogar möglich, immer die gleiche Premium-Nummer für eine große Zahl angelegter Accounts einzusetzen. Aber auch die Facebook-Tochter Instagram und Googles Gmail nahmen ohne Probleme Premium-Rufnummern entgegen.

Kommt Zeit, kommt Geld

Je nachdem, wie die jeweilige Nummer konfiguriert war, kostete jeder Token-Versand per SMS oder jeder automatische Anruf den Dienstebetreiber eine bestimmte Gebühr. Meist sind es mehrere Cent bis hin zu mehreren Euro, die vom Anbieter solcher Nummern dann an denjenigen weitergeleitet werden, der sie angemietet hat.

Mit dem Verfahren gelingt es natürlich nicht, mit einem Mal größere Summen abzuräumen. Doch auch Kleinvieh macht bekanntlich Mist - und mit etwas Zeit und einer Reihe von Accounts hätten schon ordentliche Summen zusammenkommen können. Bei einem Dienst war es so beispielsweise möglich, alle 30 Minuten eine Nummer kontaktieren zu lassen, die ein Pfund (1,20 Euro) brachte. Am Tag machte das dann 48 Pfund und wenn es niemandem auffällt, hätte die Nummer über Wochen laufen können. Wenn man das Ganze dann gleich mit hundert Accounts macht, kommt in einem überschaubaren Zeitraum ein recht ordentlicher Betrag zusammen. Inzwischen sind die fraglichen Services besser abgesichert.
Verwandte Themen
Microsoft Corporation
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture