A Autenticação SMS de Dois Fatores não irá Protegê-lo se os Hackers Puderem Interceptar as Suas Mensagens
Por uma questão de simplicidade, os especialistas geralmente descrevem a autenticação de dois fatores (2FA) como um sistema que permite que você efetue login na sua conta apenas se fornecer algo que você conhece e também possui .
O que você sabe é óbvio - a combinação correta de nome de usuário e senha. O que você tem , no entanto, é uma história diferente. Com algumas exceções, você na verdade não fornece algo que possui. Você geralmente insere um código temporário que de alguma forma aparece no dispositivo que você possui . E qual dispositivo você tem com você o tempo todo? É isso mesmo, seu celular.
Índice
SMS e autenticação de dois fatores
Enviar a senha temporária para o seu celular é uma solução óbvia. É rápido, barato e, por um tempo, não havia outras alternativas. Até hoje, existem inúmeros serviços online que oferecem esse tipo de autenticação de dois fatores, e muitas pessoas o usam, pensando que é a coisa mais sensata do mundo.
Os especialistas em segurança, no entanto, têm dúvidas há um tempo. O fato é que, quando expressam suas preocupações, muitas vezes são criticados por serem excessivamente paranóicos, e deve-se dizer que de vez em quando os cenários que alguns descrevem não são muito plausíveis, especialmente no que diz respeito aos usuários comuns . No caso de SMS e autenticação de dois fatores, no entanto, os temores são fundamentados em fatos concretos e frios sobre a tecnologia em questão, e não devem ser descartados de ânimo leve.
SS7 - a tecnologia antiga que ainda usamos para enviar e receber SMS
O Signaling System No. 7 (SS7) é uma coleção de protocolos que usamos para, entre outras coisas, transmitir mensagens de texto desde o lançamento dos primeiros telefones celulares. Os protocolos atuais foram desenvolvidos em 1975 e, como qualquer tecnologia com mais de quarenta anos, eles também provaram ter uma ou duas desvantagens.
Do ponto de vista da segurança, as coisas têm sido particularmente preocupantes, especialmente durante a última década. Os especialistas vêm conversando sobre as vulnerabilidades do SS7 desde 2008, com as primeiras falhas permitindo o rastreamento de vítimas e com descobertas posteriores que permitem que os criminosos avancem e interceptem chamadas e mensagens. Em teoria, apenas os provedores de telecomunicações devem ter acesso às redes SS7, mas, na realidade, qualquer pessoa pode ir ao mercado subterrâneo e comprar ferramentas que lhes permitam percorrer o fluxo de informações.
Assim que encontraram as primeiras vulnerabilidades, os especialistas declararam o SS7 inadequado para proteger a privacidade dos usuários e disseram que algo mais moderno deveria substituí-lo. Aparentemente, no entanto, os provedores de telecomunicações achavam que a ameaça não era tão séria e as ligações da comunidade de segurança foram ignoradas. Em 2017, o inevitável aconteceu.
A filial alemã da O2-Telefonica, uma provedora de serviços móveis da Europa, admitiu que alguns de seus clientes tiveram suas contas bancárias drenadas depois que criminosos exploraram uma falha na rede SS7. Primeiro, os hackers usaram a engenharia social para induzir as vítimas a instalar malware em seus computadores. Munidos de nomes de usuário, senhas e números de telefone roubados, os bandidos tentaram entrar nas contas dos usuários no meio da noite. Em seguida, eles interceptaram os SMSs com os códigos de autenticação de dois fatores e extraíram com sucesso o dinheiro.
Após o incidente, mais pessoas começaram a pressionar por uma tecnologia mais nova para substituir o SS7, mas o fato é que, no momento, simplesmente não temos uma alternativa. Isso, juntamente com a ameaça da troca de SIM , torna o SMS um meio de transferir códigos 2FA menos do que perfeito. Isso significa que você nunca deve usar a autenticação de dois fatores do SMS?
A autenticação de dois fatores do SMS é melhor do que nenhuma autenticação de dois fatores
O SMS, especialmente quando usado para algo tão sensível quanto os códigos 2FA, tem suas falhas. Deve-se dizer, no entanto, que algumas pessoas se empolgam um pouco com os avisos. De fato, os ataques do SS7 não são apenas uma possibilidade teórica, mas um fato da vida, como testemunham os clientes da O2-Telefonica. Esse tipo de crime só pode ser cometido por grupos sofisticados de hackers, que são altamente qualificados e altamente motivados. E, ao contrário da crença popular, não existem muitos por aí. A maioria dos cibercriminosos que atacam os usuários não tem o conhecimento nem os recursos para desencadear esse ataque. O mesmo vale para a troca de SIM.
E, de qualquer forma, mesmo se eles tiverem habilidade suficiente para interceptar mensagens de texto, com a autenticação de dois fatores ativada, você estará, no mínimo, dificultando muito a vida deles. Isso é sempre uma coisa boa.
Você deve saber agora que existem algumas alternativas. Aplicativos de autenticação de dois fatores como o Google Authenticator geram seus códigos localmente, o que significa que bandidos não podem interceptá-los. E se você quer ser ainda mais seguro, sempre pode ver os tokens de autenticação U2F .
Mesmo essas opções não são perfeitas, mas, especialmente se você estiver protegendo algo importante como seu email ou sua conta bancária on-line, eles fazem um trabalho muito melhor do que as mensagens de texto. Verifique as opções 2FA para todos os serviços que você usa e, se você puder escolher algo mais seguro que as mensagens de texto, certifique-se de fazê-lo. Mesmo se os SMS forem a única opção, verifique se o 2FA está ativado.
