2019/05/25

Autenticação via SMS evapora mais de 100 mil dólares a vítima de roubo de SIM


Há muito que os especialistas em segurança têm recomendado que se pare de utilizar os SMS como forma de autenticação 2-factor, e infelizmente temos mais um caso que demonstra como a dependência no número de telefone se torna num grande factor de risco, tendo permitido roubar mais de 100 mil dólares de uma conta da Coinbase.

A utilização de um número de telemóvel como método de recuperação de conta continua a ser vista como conveniente por muitos utilizadores (e muitos sites e serviços continuam a insistir nessa prática), mas o problema é que isso se torna num enorme factor de risco. A maioria das pessoas assume que o seu número de telefone é algo seu... mas o problema é que isso é algo que pode mudar numa questão de minutos, propiciando um cenário de pesadelo digital, como nos conta um utilizador que foi roubado em mais de 100 mil dólares em criptomoedas.


Toda a conveniência e suposta segurança da autenticação ou recuperação de contas via SMS / número de telefone cai por terra quando se contempla a eventualidade de um atacante se apoderar do nosso número. E isso é algo que infelizmente se tem tornado cada vez mais frequente, bastando um pouco de engenharia social - alguém que ligue para o operador, com dados pessoais sobre a vítima obtidos com base naquilo que partilha nas redes sociais, a contar uma história do tipo "roubaram-me o telemóvel e documentos, preciso urgentemente de um novo cartão SIM", etc.


A partir desse momento, o número de telefone que era o nosso aliado para efeitos de autenticação torna-se no nosso pior inimigo, já que permite a um atacante proceder à recuperação de conta, autenticação 2FA via SMS, e por aí adiante.

Neste caso em concreto a história torna-se ainda mais "ridícula" por isto não ter sido feito apenas uma vez, mas sim duas vezes em dias consecutivos, tendo culminado com o atacante a conseguir entrar na conta de Gmail da sua vítima, e a partir daí ter conseguido aceder ao Coinbase, de onde limpou  criptomoedas no valor de 100 mil dólares.


O relato do incidente poderá servir de exemplo para quem alguma vez se poder ver na mesma situação, existindo alguns sinais de alarme evidentes que foram ignorados por não se estar a prever que fosse um destes casos (o cartão SIM deixar de funcionar, as notificações de alguém estava a aceder à conta da Google, etc.) Mas acima de tudo, serve como mais um exemplo que demonstra que não se deve utilizar o número de telefone para efeitos de autenticação ou recuperação de conta. Utilizem os códigos de autenticação gerados por apps estilo Google Authenticator ou, para quem quiser levar a coisa mesmo a sério, chaves físicas estilo YubiKey.

... Ao estilo do que acontece com os backups, esta é daquelas coisas que importa fazer *antes* de se ser atacado e ficar a desejar tê-lo feito mais cedo.

1 comentário:

  1. A Google exige o número de telemóvel para se activar o segundo factor de autenticação.
    É fazer como eu, dar-lhes o número, depois criam o segundo factor de autenticação (código que muda a cada 30 segundos, ou ainda melhor o FIDO2 se tiverem duas chaves que eles aceitem) e depois de confirmarem que funciona bem, procuram bem pelo número em todas as partes da conta Google até terem removido de todos os lados, há uns anos aparecia em dois locais diferentes algo como telefone de recuperação e telefone de segurança... removi de ambos.

    O problema são aqueles web sites que não permitem desactivar o número de telefone sem desactivar todas as opções de segundo factor tipo web site do Wordpress.

    Para quem insiste em ter moedas virtuais (pessoalmente só aconselho para realizar operações imediatas em que só aceitem moedas virtuais), deveria mesmo ter carteiras físicas dedicadas para esse efeito tipo "Trezor" ou "Ledger" que são criadas para esse efeito (verificar compatibilidade com a(s) moeda(s) que pretendem armazenar) e ficam convosco fora da Internet em vez de estarem em web sites que podem perder ou furtar-vos as moedas virtuais.

    ResponderEliminar

[pub]