2018/07/18

Os hackers que agradecem a utilização do 2-factor via SMS


A maioria das pessoas pode pensar que associar o seu número de telefone a um serviço online, ou usar SMS como sistema de autenticação 2-factor é algo que garantirá a sua segurança - mal sabendo que pode ser precisamente o caso oposto.

Existe um grupo de hackers na internet que se reúne no OGUSERS, e que tem por missão apoderar-se das mais atractivas contas do Instagram e Twitter; contas que tenham nomes populares, curiosos, ou meramente curtos. E embora sejam muitas as tácticas utilizadas para roubar estas contas dos legítimos proprietários, uma das técnicas mais comuns consiste em obter controlo sobre o seu número de telemóvel, através do que é chamada "SIM swapping".

As pessoas assumem, inocentemente, que o seu número de telefone é algo intrinsecamente privado e que dificilmente poderá ser acedido por um atacante. Na verdade é precisamente o oposto. Por cerca de $100 um hacker pode convencer um funcionário de um operador de telecomunicações a activar-lhe uma "2ª via" do cartão SIM pretendido, num processo idêntico ao que seria feito se o cartão original tivesse sido perdido ou roubado. A diferença é que neste caso o número passa a estar sob controlo do hacker, que numa questão de minutos pode varrer as contas da vítima e iniciar o processo de recuperação de conta, usando o número de telefone como método de validação de que é ele o detentor legítimo.

Como se pode imaginar, este é o tipo de "terror" que só quem passa por ele é que ganhará consciência de que é mesmo real - mas os relatos que se têm sucedido parecem ter sido suficientes para que o Instagram, finalmente, implementasse um sistema 2-factor que já não obriga a utilizar SMS. Se isso será suficiente para fazer abrandar este grupo de hackers que se sentiu atraído pelo roubo de contas no Instagram... isso é que já me parece ser demasiado optimista.


Alias, basta imaginar que com todo o tempo livre que muitos jovens têm entre mãos (tal como nós no nosso tempo), facilmente alguns se possam sentir frustrados com o facto de que quando chegam à internet já todos os "nomes" estão registados, criando algum rancor para com todos aqueles que tiveram a "prioridade" de cá estar antes deles. Não me custa nada antever que alguns considerem um divertimento tentarem apoderar-se de algumas contas... e que depois, ao se revelar um negócio lucrativo (estas contas podem ser vendidas por milhares de dólares, dependendo do nome), se torne num ciclo vicioso.


Dito isto, fica o alerta dado... se têm contas em que o número de telefone é a vossa "chave"... será conveniente fazerem as devidas alterações para que não fiquem dependentes de uma chave que na prática é mais vulnerável do que se gostaria de acreditar.

6 comentários:

  1. Já tinha visto de tudo agora hackers corruptores deve ser outra técnica mais recente pensei que só o brute force e engenharia reversa fosse os melhores métodos... Posto isto funcionários de um banco qualquer tenciono tornar me hacker e piratear cartões bancários... Alguém me faz uma segunda via de um cartão multibanco de uma conta bem recheada por 100€? (just kidding)
    Cumprimentos

    ResponderEliminar
    Respostas
    1. Brincadeiras à parte depois de ler o artigo a única falha de segurança é da tmobile... Já fiz pedidos de activação de 2as vias na minha antiga operadora (na altura da mudança para os micro sim) pediram sempre o numero inscrito no sim antigo e caso não o tivesse para ir à loja ou enviavam por correio.

      Eliminar
  2. isso não é bem "hacking" é apenas roubo de informação/identidade...

    ResponderEliminar
    Respostas
    1. Na verdade a maior parte do "hacking" é feito com recurso a engenharia social, seja através de phishing, apps infectadas ou este método, o alvo mais fácil é sempre a parte humana da equação. A série Mr. Robot é muito fixe a mostrar esse aspecto

      Eliminar
  3. "(tal como nós no nosso tempo)" Estás a chamar velho a alguém? :D
    Para que isto seja possível parece-me que antes de obter a "2-via" terá de obter o nº de telemóvel da pessoa em causa. Algo que nos dias de hoje pode ser (ou não?) complicado.

    ResponderEliminar
  4. Três palavras: Chave Móvel Digital. Estou só à espera do dia em que o sistema arcaico de SMS que a administração pública implementou seja abusado para coisas como assinar digitalmente documentos sem o conhecimento do dono da assinatura. Ou se calhar sou eu que vejo filmes de mais :P

    ResponderEliminar