接收电话通常为与这些特定账户绑定的电话号码。
从理论上讲,攻击者还可以攻击其它公司Swinnen通过实验发现,他可以创建Instagram、Google以及Microsoft Office365账号,然后与高费率(premium)电话号码绑定也不是常规号码。当其中这三个公司向账户绑定的高费率电话号码提供验证码时,高费率号码将登记来电通话并向这些公司开具账单。Swinnen认为,攻击者可以创建高费率电话服务和假Instagram、Google或Microsoft账号,并绑定。Swinnen表示,攻击者能通过自动化脚本为所有账号申请双因素验证许可,将合法电话呼叫绑定至自己的服务并赚取可观利润。
攻击者可赚取暴利
根据Swinnen计算统计,从理论上讲,每年可以从Instagram赚取206.6万欧元,Google43.2万欧元,以及Microsoft66.9万欧元。Swinnen通过漏洞报告奖励计划向这三家公司报告了攻击存在的可能性。Facebook给予他2000美元的奖励,Microsoft的奖励金额为500美元,Google在“HallofFame”(名人堂)中提及他。
Arne Swinnen先前还发现了Facebook的账户入侵漏洞,并帮助Instagram修复登录机制,防止多种新型蛮力攻击。