شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .

امتیاز موضوع:
  • 81 رأی - میانگین امتیازات: 2.89
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
هکرها میلیون سیستم می موبایلی دلار آنلاین تایید سرقت از کنند hack توانند ها طریق هک

هکرها می توانند میلیون ها دلار از طریق سیستم آنلاین تایید موبایلی
#1
محققان به تازگی متوجه شده‌اند که هکرها می‌توانند با نفوذ به سیستم‌های آنلاین تایید پرداخت موبایلی، به راحتی میلیون‌ها دلار را به سرقت ببرند.

آخرین حمله‌‌ هکرها نشان می‌دهد که تایید هویت شماره‌هایی با تعرفه‌ی بالا (Premium-rate telephone numbers، تلفن‌هایی هستند که از بسترهای خاصی برای انتقال داده استفاده می‌کنند اما در عوض هزینه‌های بالاتیر هم دارند) برای کاربران این تلفن‌ها تا چه حد دشوار است. اخیرا یک محقق بلژیکی دریافته است که می‌توان با سوء‌استفاده از سیستم تایید موبایلی استفاده شده توسط گوگل، مایکروسافت، اینستاگرام و... به راحتی میلیون‌ها دلار را به سرقت برد.
بسیاری از برنامه‌ها و وبسایت‌ها به کاربر اجازه می‌دهند که شماره تلفن خود را نیز با حساب کاربری مرتبط کند. شماره تلفن فرد برای احراز هویت دو مرحله‌ای یا بازگرداندن حساب در صورت فراموش کردن رمز آن به کار می‌رود. بسیاری از سیستم‌ها بر پایه‌ی کدهای ارسال شده از طریق پیامک کار می‌کنند. البته گاهی می‌توان گزینه‌ی تماس را نیز انتخاب کرد تا سیستم با شما تماس گرفته و کد را برایتان بخواند.

سال گذشته، یک مشاور حوزه‌ی امنیت فناوری اطلاعات بلژیکی به نام آرن سوینن کنجکاو شد که بداند اگر شماره تلفن‌های استفاده شده توسط کاربران از نوع تعرفه بالا یا پریمیوم ریت باشند چه اتفاقی می‌افتد. او چند سرویس مشابه و معروف را هم امتحان کرد تا به پاسخ برسد. او تحقیق خود را در ماه سپتامبر سال گذشته و با اینستاگرام آغاز کرد و به سرعت دریافت که اگر کدهای ارسال شده توسط ایسنتاگرام در ۳ دقیقه توسط کاربر استفاده نشوند، حتی اگر تلفن او تعرفه‌ی تماس بالایی داشته باشد این کمپانی در هر صورت با او تماس خواهد گرفت. این محقق همچنین موفق شد از طریق یک API،‌ راهی برای تکرار تماس‌های اینستاگرام در هر ۳۰ ثانیه پیدا کند. این تماس‌ها از کالیفرنیا گرفته شده و ۱۷ ثانیه طول می‌کشیدند.

سوینن از یک شماره تلفن استفاده کرد که برای هر دقیقه تماس، ۰.۰۶ پوند هزینه در بر داشت. او توانست با ۱۷ دقیقه سواستفاده از سرویس اینستاگرام، ۱ پوند به دست آورد. می‌توان با استفاده از چندین حساب اینستاگرام و تعدادی شماره‌تلفن، این حمله را شدت بخشید و روزانه هزاران پوند از این طریق به سرقت برد. فیسبوک که مالک اینستاگرام محسوب می شود، به این محقق نروژی گفته است که این یک آسیب‌پذیری محسوب نمی‌شود. فیسبوک مدعی است که حساب‌هایی را که در تلاش برای سوء استفاده باشند شناسایی و بلاک می‌کند و کسانی که این کار را انجام دهند باید ریسک آن را نیز بپذیرند. این کمپانی بعدها تصمیم گرفت که سرویس تماس خود را بررسی کرده و برخی محدودیت‌ها را برای تماس با شماره تلفن‌هایی با تعرفه ی بالا ایجاد کند. فیسبوک در نهایت تنها ۲۰۰۰ دلار به سوینن پاداش داد.

سوینن در ماه فوریه از حمله‌ی جدید خود و این بار به گوگل خبر داد. این محقق توانسته بود از سیستم تایید هویت دو مرحله‌ای گوگل نیز سوء استفاده کند. البته این کار به مراتب سخت‌تر از سوء استفاده از اینستاگرام بوده است. این محقق توانسته بود تنها با استفاده از یک حساب گوگل و یک شماره تلفن با تعرفه‌ی تماس بالا، روزانه ۱۲ یورو را از این کمپانی به سرقت ببرد. این میزان با استفاده از چندین حساب گوگل و چند شماره تلفن به سادگی قابل افزایش است. گوگل در جواب گفته است که امکان سواستفاده از این طریق را تا حد ممکن کاهش داده است، اما به دلیل مشکلات موجود در نحوه‌ی کار کرد شرکت‌های مخابراتی، نمی‌توان جلوی سواستفاده‌های این چنینی را به طور کامل گرفت.

[تصویر:  do.php?img=1672]

سوینن توانسته است در بین تمامی گزینه‌های امتحان شده، بیشترین بهره را از فعال‌سازی تلفنی نسخه‌ی آزمایشی آفیس ۳۶۵  ببرد. این محقق توانست دو راه برای دور زدن محدودیت‌های نرخ تماس این وبسایت بیابد. شاید باور نکنید اما این فرد می‌توانست کاری کند که مایکروسافت ۱۳ میلیون بار با شماره‌ی مورد نظر او تماس بگیرد! علاوه بر این، این سرویس اجازه‌ی برقراری تماس‌های هم زمان با هم را نیز می داد. این تماس‌ها هر بار ۲۳ ثانیه طول کشیده و بهایی معادل ۰.۱۵ یورو بر دقیقه در پی داشتند. این محقق توانسته بود در کمتر از یک دقیقه یک یورو از این سرویس به سرقت ببرد! مایکروسافت در این مورد گفته است که اثر واقعی این آسیب‌پذیری بر شرکت دیگری خواهد بود که این کمپانی از آن برای برقراری تماس‌های تلفنی خود استفاده می‌کند. این شرکت نیز تنها ۵۰۰ دلار به سوینن پاداش داد و تصمیم به رفع این مشکل گرفت.

[تصویر:  do.php?img=1673]

اگرچه هم‌اکنون تاثیر این نوع حملات برای اینستاگرام، گوگل و مایکروسافت بسیار کمتر شده است، اما هنوز هم کمپانی‌ها و برنامه‌های بسیاری وجود دارند که از این نوع آسیب‌پذیری در امان نیستند. سوینن این تحقیق را در پستی در دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
خود منتشر کرده و در آن بر دشوار بودن نحوه‌ تشخیص شماره‌های معمولی و شماره‌هایی با نرخ مکالمه‌ گران برای هر دو گروه کمپانی‌ها و مشتریان تاکید کرده است.

ثبت دامنه و فروش هاست، سامانه پیامک، طراحی سایت، خدمات شبکه
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
  | دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.

sms: 10004673  - 500021995
پاسخ
 سپاس شده توسط elshan ، neda ، saman ، نگار ، mesterweb ، ms.khassi ، farnaz ، faezeh


موضوع‌های مشابه…
موضوع نویسنده پاسخ بازدید آخرین ارسال
  اطلاعات یک میلیون ایرانی در اینستاگرام لو رفت saberi 1 1,592 ۹۸/۴/۲۶، ۰۱:۴۸ عصر
آخرین ارسال: poromix.srore
  دسترسی کامل هکرها به اطلاعات ۱۴ میلیون کاربر فیسبوک elshan 0 1,687 ۹۷/۷/۲۲، ۰۱:۵۰ عصر
آخرین ارسال: elshan
  هک جدید از طریق واتس اپ به روش فیشینگ و هایجک saberi 0 4,255 ۹۷/۳/۱۷، ۱۲:۵۷ صبح
آخرین ارسال: saberi
  امکان نفوذ به گوشی از طریق شبکه های اجتماعی saberi 0 1,442 ۹۷/۳/۳، ۰۳:۲۵ صبح
آخرین ارسال: saberi
  گسترش بدافزار بانکی اندروید از طریق ربودن DNS مودم hoboot 0 1,909 ۹۷/۱/۳۱، ۰۶:۵۶ صبح
آخرین ارسال: hoboot
  هک ویندوز از طریق بازدید از یک سایت mesterweb 0 1,910 ۹۷/۱/۲۵، ۰۲:۰۰ صبح
آخرین ارسال: mesterweb
  سرقت اطلاعات کاربران ایرانی از طریق اپلیکیشن‌های جعلی hoboot 1 1,718 ۹۶/۱۲/۷، ۰۲:۲۰ عصر
آخرین ارسال: elshan
  هکرها برای دزدی ارز دیجیتال دست به دامان تلگرام شده‌اند tak 0 1,704 ۹۶/۱۱/۲۶، ۰۷:۲۹ عصر
آخرین ارسال: tak
  آشنایی با ویروس Digmine که از طریق فیسبوک منتشر می‌شود hoboot 0 1,773 ۹۶/۱۰/۸، ۰۵:۲۷ صبح
آخرین ارسال: hoboot
  روش‌های رایج کلاهبرداری از طریق فیشینگ و نحوه‌ی مقابله با آن نگار 2 2,302 ۹۶/۸/۲۷، ۰۴:۳۶ عصر
آخرین ارسال: farnaz

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان