La mayoría de grandes empresas tienen un sistema de autenticación seguro que permite añadir el teléfono móvil como segundo factor de autenticación, en el que recibimos un código enviado por un número gestionado por esas empresas. Es de este sistema del que se ha aprovechado un investigador, que afirma que se podía sacar bastante dinero con él.
Este investigador de seguridad belga, llamado Arne Swinnen, ha descubierto un método por el cuál ganar dinero con los mensajes SMS enviados con la autenticación en dos pasos. Las empresas que envían estos mensajes con códigos de identificación también ofrecen llamar al usuario en cuestión para identificarlo. Estas llamadas van asociadas al número de teléfono que haya en la cuenta.
Swinnen descubrió que estos números de teléfono asociados a la cuenta pueden ser números de suscripción premium, con lo que realizar una llamada a ellos le cuesta dinero al emisor de la llamada. Las empresas con las que probó que funcionaba este sistema son Microsoft, con su producto Office 365, Google, e Instagram.
El sistema puede ser utilizado por atacantes de manera automatizada creando un script que pida los códigos de autenticación en dos pasos a los servicios en cuestión, y hacer que estos llamen al teléfono premium, generando un pago con cada llamada.
Las cifras que se pueden llegar a hacer con este sistema varían según la compañía. Swinnen ha calculado que al año se le podrían sacar a Instagram 2 millones de euros, a Google 432.000 euros, y 669.000 euros a Microsoft.
Los detalles del exploit han sido publicados en su blog. Comunicó a las respectivas compañías el fallo, y éstas le dieron diversas recompensas.
Facebook tardó 4 meses en aceptar el fallo de seguridad y empezar a ponerle remedio, entre septiembre y diciembre de 2015. Finalmente, aceptaron el fallo de seguridad, poniendo solución a los límites tarifarios y otras medidas de seguridad. Le dieron a Swinnen 2.000 dólares.
Google tardó un tiempo en aceptarlo también, pero al no ser un fallo de seguridad como tal, en el que sólo Google perdía dinero, argumentando que a ellos les importa más la seguridad de los usuarios que el dinero. Por ello, no le dieron ninguna recompensa monetaria, aunque sí una mención en el Hall de la fama de la compañía.
Microsoft dio un argumento similar al de Google, y aunque no lo consideraban un problema de seguridad, decidieron darle 500 dólares como recompensa.