在前不久，我們剛剛了解到無孔不入的社會工程學攻擊能夠為雙因子認證（Two-factor authentication，2FA）帶來致命的打擊。現在來自比利時的安全研究員Arne Swinnen又發現，利用一些大公司（如Google、微軟、Instagram）提供的雙因子認證里的電話語音驗證服務漏洞，則能夠從中賺取到高額的利潤。

據悉，大多數部署了2FA的公司，當用戶在其官網上注冊后，都會發送短信認證碼對用戶的真實性驗明正身。當然，用戶也可以選擇接收這些公司的電話呼叫，讓語音機器人告訴你認證碼是什么。

部署2FA的公司都需要警惕

在實驗中，Arne Swinnen發現，在注冊Google、微軟Office 365和Instagram的賬戶時，他可以使用一個普通的電話號碼進行賬號綁定，也可以將其與一個付費電話進行綁定。

　　注冊谷歌賬戶時，雙因子認證界面

而一旦這些公司使用付費電話來發送用戶的身份認證碼時，不法黑客便可以通過偽造Google、微軟、Instagram賬戶，將付費電話與這些賬號綁定。而一些提供付費電話的通訊平臺則會依據接到付費電話的數量，為這些黑客返錢。

　　利用自動執行腳本攻擊

如果利用自動執行腳本，一個攻擊者可以要求上述公司向其偽造的所有賬戶發送電話的2FA認證，而這樣便可以為其贏得了相當客觀的利潤。

　　攻擊可獲得的收益

攻擊會產生巨額利潤

雖然由于各公司在提供2FA認證過程中的服務方法各有不同，讓攻擊時的技術細節也有不同的變化，但Swinnen在其博客中仍然描述了相應的細節。

據Swinnen推斷，如果使用上述攻擊手法，理論上一個攻擊者每年可從Google獲得43.2萬英鎊（約合383.34萬元人民幣），從微軟能獲得66.9萬英鎊（約合593.65萬元人民幣），從Instagram則能獲得206.6萬英鎊（約合1833.29萬元人民幣），其產生的巨額利潤可見一斑。

由此可見，各相關企業在防止暴力注冊攻擊等情況下，僅僅依靠雙因子認證機制還遠遠不夠，需要進一步部署更為細化的安全防護手段，來杜絕可能出現的新威脅。