E安全7月18日訊 比利時安全研究員Arne Swinnen發現通過雙因素語音驗證系統一年能從Facebook、Google和Microsoft公司盜竊數百萬歐元。

　　許多部署雙因素認證（2FA）的公司通過短信息服務向用戶發送驗證碼。如果選擇語音驗證碼，用戶會接收到這些公司的語音電話，由機器人操作員大聲念出驗證碼。

　　接收電話通常為與這些特定賬戶綁定的電話號碼。

　　從理論上講，攻擊者還可以攻擊其它公司

　　Swinnen通過實驗發現，他可以創建Instagram、 Google以及Microsoft Office 365賬號，然后與高費率（premium）電話號碼綁定也不是常規號碼。

　　當其中這三個公司向賬戶綁定的高費率電話號碼提供驗證碼時，高費率號碼將登記來電通話并向這些公司開具賬單。

　　Swinnen認為，攻擊者可以創建高費率電話服務和假Instagram、Google或Microsoft賬號，并綁定。

　　Swinnen表示，攻擊者能通過自動化腳本為所有賬號申請雙因素驗證許可，將合法電話呼叫綁定至自己的服務并賺取可觀利潤。

　　攻擊者可賺取暴利

　　根據Swinnen計算統計，從理論上講，每年可以從Instagram賺取206.6萬歐元，Google 43.2萬歐元，以及Microsoft 66.9萬歐元。

　　Swinnen通過漏洞報告獎勵計劃向這三家公司報告了攻擊存在的可能性。Facebook給予他2000美元的獎勵，Microsoft的獎勵金額為500美元，Google在“Hall of Fame”（名人堂）中提及他。

　　Arne Swinnen先前還發現了Facebook的賬戶入侵漏洞，并幫助Instagram修復登錄機制，防止多種新型蠻力攻擊。