在前不久，我们刚刚了解到无孔不入的社会工程学攻击能够为双因子认证(Two-factor authentication，2FA)带来致命的打击。现在来自比利时的安全研究员Arne Swinnen又发现，利用一些大公司(如Google、微软、Instagram)提供的双因子认证里的电话语音验证服务漏洞，则能够从中赚取到高额的利润。

　　据悉，大多数部署了2FA的公司，当用户在其官网上注册后，都会发送短信认证码对用户的真实性验明正身。当然，用户也可以选择接收这些公司的电话呼叫，让语音机器人告诉你认证码是什么。

　　部署2FA的公司都需要警惕

　　在实验中，Arne Swinnen发现，在注册Google、微软Office 365和Instagram的账户时，他可以使用一个普通的电话号码进行账号绑定，也可以将其与一个付费电话进行绑定。

　　注册谷歌账户时，双因子认证界面

　　而一旦这些公司使用付费电话来发送用户的身份认证码时，不法黑客便可以通过伪造Google、微软、Instagram账户，将付费电话与这些账号绑定。而一些提供付费电话的通讯平台则会依据接到付费电话的数量，为这些黑客返钱。

　　利用自动执行脚本攻击

　　如果利用自动执行脚本，一个攻击者可以要求上述公司向其伪造的所有账户发送电话的2FA认证，而这样便可以为其赢得了相当客观的利润。

　　攻击可获得的收益

　　攻击会产生巨额利润

　　虽然由于各公司在提供2FA认证过程中的服务方法各有不同，让攻击时的技术细节也有不同的变化，但Swinnen在其博客中仍然描述了相应的细节。

　　据Swinnen推断，如果使用上述攻击手法，理论上一个攻击者每年可从Google获得43.2万英镑(约合383.34万元人民币)，从微软能获得66.9万英镑(约合593.65万元人民币)，从Instagram则能获得206.6万英镑(约合1833.29万元人民币)，其产生的巨额利润可见一斑。

　　由此可见，各相关企业在防止暴力注册攻击等情况下，仅仅依靠双因子认证机制还远远不够，需要进一步部署更为细化的安全防护手段，来杜绝可能出现的新威胁。

　　责任编辑：DJ编辑