2017/05/05

Vulnerabilidade nas redes móveis torna irrelevante uso de SMS para autenticação


Há muito que os especialistas de segurança começaram a desaconselhar a utilização de SMS para autenticação das contas, e agora temos a comprovação disso mesmo, com casos confirmados de ataques que estão a limpar contas bancárias protegidas com este tipo de protecção.

A utilização de sistemas de autenticação "2-factor" é algo absolutamente indispensável nos dias de hoje, evitando que um atacante consiga aceder às nossas contas apenas com a password, mas o método como a verificação adicional é feita também tem importância crítica. Um dos métodos mais populares passa pelo envio via SMS de um código válido para uma única vez... só que, tal como advertiram os especialistas, este método não oferece nenhuma segurança real - e desta vez não depende da engenharia social para se apoderarem do número de telefone.

O problema está no SS7, um protocolo utilizado pelas rede móveis e cujas origem remontam aos anos 80, e que permite a "magia" de os nossos telemóveis poderem funcionar em qualquer ponto do mundo tal como se estivéssemos em casa. Hoje em dia, é relativamente fácil abusar deste protocolo e redireccionar chamadas ou SMS de qualquer telemóvel ou smartphone para outro equipamento; e neste caso permitindo que um hacker possa receber o SMS com o código de autenticação que a vítima pensava ser suficiente para garantir a sua segurança.


Este risco já era conhecido há anos, mas a maioria das pessoas (e empresas) acreditavam que este método era demasiado rebuscado para se tornar numa ameaça real... Pois bem, estavam enganados. Na Alemanha várias pessoas viram as suas contas bancárias reduzirem-se a zero depois de hackers se terem apoderado delas e usando o SS7 para obterem os códigos bancários para validação das transacções enviados via SMS.

Claro que este tipo de ataque só faz sentido depois dos hackers já terem conseguido infiltrar o computador da vítima (via phishing ou outro método) para obterem a sua password; mas importa estar informado de que a utilização de SMS para efeitos de validação de segurança será completamente desaconselhado.

Se o serviço permitir, será recomendável a utilização de códigos gerados via apps como o Google Authenticator, ou idealmente a utilização de chaves físicas de segurança; se não o permitir, têm uma excelente oportunidade para lhes enviarem um email a pedirem que implementem esses métodos alternativos que não dependam de SMS. (De notar que esta mesma vulnerabilidade abre as portas a muitos outros tipos de ataque, como apoderarem-se de contas em serviços que permitam utilizar o número de telemóvel como método de recuperação da conta; etc.) Enfim... o método de segurança acrescida pode tornar-se na vulnerabilidade que permite aos hackers entrarem nas nossas contas.

4 comentários:

  1. Os dois passos do banco a quem pago os serviços são:
    - Credenciais da conta - 1º passo
    - Elemento do cartão de coordenadas - 2º passo
    E:
    - Código enviado por SMS se o pagamento for superior a um dado montante (€400, salvo erro) - 3º passo
    Julgo que é assim nos restantes bancos. Só com o 1º e o 3º passo os malandros não vão lá.

    ResponderEliminar
    Respostas
    1. Muitos bancos já nao usam o cartao de coordenadas, e usam apenas o código via SMS para as transferencias.
      Por exemplo, por cá o BPI usa cartão de coordenadas; o Millennium é só via SMS... pelo que este método funcionaria.

      Eliminar
  2. Se não estou em erro, por imposição dos reguladores e da implementação da norma PSD2, o método de autenticação por SMS terá que ser revisto, senão mesmo, descontinuado a partir de 2018. Portanto, essa questão está assegurada.

    ResponderEliminar
  3. Bem que andei a tentar convencer o MillenniumBCP a não utilizar o SMS para autenticação de operações, e ainda a tentar convencê-los a utilizar um segundo factor de autenticação baseado no tempo... mas sem sucesso, eles realmente não estão preocupados com a segurança dos clientes infelizmente. Até compreendia que tivessem tais medidas como opcionais, mas pelo menos que as tivessem, mas aparentemente é pedir de mais.

    ResponderEliminar

[pub]