2017/08/22

Contas de Bitcoin em risco com roubo de números de telefone


Há algum tempo que muitas empresa têm desaconselhado o uso de códigos por SMS como forma de autenticação, e agora isso está a comprovar-se com uma vaga de ataques que tem permitido roubar milhões em Bitcoins e outras moedas digitais.

Como sempre, a questão da dificuldade de roubar uma conta é sempre relativa em função dos ganhos que se possam ter. Com a explosão da popularidade das moedas digitais e a sua valorização, obter o acesso a contas de pessoas que tenham centenas de milhares de euros (ou até milhões!) nestas moedas torna-os alvos particularmente apetecíveis... e onde o sistema de autenticação 2-factor com SMS não se torna num factor de protecção mas sim numa vulnerabilidade.

São cada vez mais os casos em que atacantes conseguem apoderar-se do número de telefone da vítima, e com isso obterem forma de "recuperarem" o acesso às contas principais da vítima.

Depois, bastam poucos instantes para reduzirem as suas contas a zero, havendo quem já tenha perdido mais de um milhão de dólares à custa de ataques deste tipo; e mesmo depois de ter alertado o seu operador para que ignorasse qualquer tentativa de contacto a solicitar que o seu número fosse associado a outro cartão ou qualquer outra técnica que passasse o controlo do seu número para outra pessoa (que se faria passar por ele). De nada valeu... demonstrando os riscos que já tinham sido referidos, e do quanto os operadores de telecomunicações não estão preparados para lidar com estas situações.

Por agora este ataque pode apenas estar direccionado para pessoas que publicamente anunciem ter valores substanciais em Bitcoin, mas será inevitável que, mais cedo ou mais tarde, possam ser direccionados contra todo o tipo de utilizadores... Pelo que, se ainda usarem o número de telefone como autenticação para contas críticas, será melhor repensarem o assunto, optando por usar soluções que não dependam do número de telefone, como chaves físicas tipo Yubi keys e afins.

1 comentário:

  1. É isso mesmo, se decidirem confiar em contas online devem mesmo utilizar "U2F FIDO" para se autenticarem, se o serviço suportar tal funcionalidade, se não suportar sugiro que lhes sugiram tal.
    Outro dispositivo que talvez seja boa ideia é um dispositivo carteira para guardar os bitcoins e outras moedas virtuais chamado https://trezor.io Pelo menos dever ser mais difícil de furtar.

    ResponderEliminar