18-летний специалист по безопасности Шабхэм Шах (Shubham Shah) из Австралии опубликовал инструкцию, как обходить двухфакторную авторизацию (2FA) на сайтах Google, Facebook, Yahoo, LinkedIn и почти на всех остальных сайтах, которые предлагают отправить токены 2FA на голосовую почту.
Как можно догадаться, взлом 2FA осуществляется путём доступа к чужому ящику голосовой почты. Метод известен очень давно, не сложен в исполнении и работает у многих операторов сотовой связи.
Для получения доступа к ящику голосовой почты нужно знать телефонный номер жертвы, после чего использовать сервис подделки номера вроде Spoofcard. Алгоритм следующий.
1. Взломщик авторизуется в системе от лица жертвы, используя чужой пароль.
2. Взломщик звонит жертве на телефонный номер, который используется для двухфакторной авторизации.
3. Немедленно после этого взломщик изменяет способ отправки кода 2FA на звонок по телефону.
4. Поскольку телефон жертвы занят, то код 2FA немедленно отправляется на голосовую почту.
Дальше взломщик прослушивает сообщения голосовой почты, используя номер телефона жертвы через вышеупомянутый сервис.
До сих пор большинство интернет-компаний не закрыли эту уязвимость и продолжают высылать токены 2FA на голосовую почту. Например, Google аргументирует свою позицию тем, что взломщику нужно изначально знать пароль пользователя, так что его компьютер уже скомпрометирован.