Hacker thông thái: Cách để ai cũng có thể hack tiền từ Google và Microsoft

Những hacker thông minh có thể khám phá ra những kĩ thuật khai thác lỗ hổng giúp cuỗm một số tiền lớn từ Google, Microsoft và Instagram bằng cách sử dụng số điện thoại cao cấp.

Nhà nghiên cứu bảo mật Arne Swinnen (Bỉ) đã phát hiện ra một cách khéo léo để đánh cắp tiền từ các hãng công nghệ lớn như Google, Microsoft và Instagram bằng việc sử dụng kĩ thuật xác thực hai bước qua giọng nói dựa trên hệ thống phân phối token.

Cụ thể, Swinnen cho biết với cách thức tạo nên  các tài khoản Instagram, Google, Microsoft giả mạo cũng như là các dịch vụ điện thoại cao cấp và kết nối chúng với nhau là có thể hack được. Kẻ tấn công có thể ra lệnh bằng giọng nói dựa trên các tài khoản giả sủ dụng kịch bản tự động, tự đặt các cuộc gọi điện thoại hợp pháp và kiếm tiền một cách thầm lặng. Chỉ cần một trong 3 tài khoản dịch vụ được kết nối với số điện thoại nói trên gọi cho số điện thoại của tài khoản đăng kí để gửi mã truy cập tài khoản, số điện thoại cao cấp sẽ thiết lập cuộc gọi đến và tính tiền cho các công ty này.

Làm thế nào để bất kì ai cũng có thể kiếm tiền từ Google và Microsoft?

“Những công ty này đều cung cấp dịch vụ cấp token cho người dùng qua một cuộc gọi thoại internet nhưng lại quên không xác minh xem số điện thoại cung cấp có phải là số tài khoản cao cấp hợp pháp hay không. Và điều này giúp cho hacker lành nghề có thể hack được hàng ngàn đô la từ cách thức này”, Swinnen cho biết.

Mặc dù đã gửi báo cáo về lỗ hổng này của 3 công ty đình đám trên, Swinnen cho biết ông có thể đánh cắp 432.000 Euro mỗi năm từ Google, 669.000 Euro mỗi năm từ Microsoft và 2.066.000 Euro mỗi năm từ Instagram. Nhà nghiên cứu này cũng chưa cho biết về dữ liệu khách hàng đối mặt với rủi ro về kĩ thuật hack này. Hiện tại, Swinnen đã được Facebook thưởng 2000 USD và Microsoft thưởng 500 USD về báo cáo lỗi bảo mật này. Riêng Google cũng vinh danh tên anh trong danh sách những người có đóng góp quan trọng cho công ty.

Xuân Dung