黑客利用语音验证漏洞绑定号码可窃取高额话费

比利时安全研究员Arne Swinnen发现通过双因素语音验证系统一年能从Facebook、Google和Microsoft公司盗窃数百万欧元。部署双因素认证（2FA）的公司通过短信息服务向用户发送验证码或者用户选择接收语音电话，攻击者可以创建高费率电话服务和假 Instagram、Google 或 Microsoft 账号并绑定，当公司发送验证信息时高费率号码将登记来电通话并向这些公司开具账单。甚至攻击者能通过自动化脚本为所有账号申请双因素验证许可，将合法电话呼叫绑定至自己的服务并赚取可观利润。从理论上讲，每年可以从Instagram赚取206.6万欧元，Google 43.2万欧元，以及Microsoft 66.9万欧元。

from hackernews.cc.thanks for it.