2019/05/13

"SIM Swap" é cada vez mais frequente e torna autenticação via SMS num risco


Há vários anos que a autenticação 2-factor via SMS está a ser desaconselhada, e são cada vez mais frequentes os casos que demonstram os seus riscos.

O recuso à autenticação 2-factor é, nos dias que correm, indispensável para manter a segurança dos acessos digitais. Depender unicamente de uma password para o fazer é algo que nos deixa expostos a qualquer atacante que a consiga obter - por exemplo, através de malware capaz de espiar aquilo que escrevemos num teclado. A evolução para a autenticação 2-factor, fazendo com que seja necessária uma prova de autenticação adicional para além da password, veio resolver estes casos - mas a utilização dos SMS, que em tempos pareciam seguros, é agora algo completamente diferente.

São cada vez mais os casos de redes que se pode dizer que são especializadas no chamado "SIM Swapping", apoderando-se do número de telefone da vítima, e assim ganhando acesso a todos os SMS que lhe seriam destinados, incluindo os códigos de autenticação 2-factor enviados por esta via. São tácticas que têm permitido roubar milhões em criptomoedas (um dos alvos preferenciais deste tipo de ataques) e que fazem com que a utilização de SMS para autenticação seja, neste momento, mais um risco do que uma segurança.

Em vez de contribuir para a segurança, a "facilidade" com que um atacante se pode apoderar do número de telefone da vítima faz com que a dependência nos SMS se torne numa porta de entrada que facilita o roubo.

Tal como se deve exigir que os serviços forneçam métodos de autenticação 2-factor para maior segurança, deve-se também exigir que deixem de utilizar SMS para este efeito (caso ainda o façam). A utilização de um código de autenticação usando uma app, ou até usando o smartphone como chave física (como recentemente passou a ser possível com os Android) são opções muito mais recomendáveis, e que livram os utilizadores do risco de perderem tudo assim que alguém se apodera do seu número de telefone.

6 comentários:

  1. À medida que os anos vão passando por cima das nossas costas, mais estranho, perigoso e nefasto parece ficar o mundo em que vivemos... :(

    ResponderEliminar
  2. O problema principal é que não existe uma solução de código e rede/ aberto, gratuito e utilizado por toda a gente que permita às diversas entidades que usam o SMS simplesmente mudar para tal sistema que seja realmente seguro.

    Pessoalmente acho que isto só se resolverá com o SQRL (Secure Quick Reliable Login) que permitirá autenticar (substituindo utilizador & senha) e ainda confirmar operações de forma muito mais segura, terá normas conhecidas e abertas a qualquer um para implementar como quiser e onde quiser e poderá ser gratuito ou pago conforme o desejo de quem cria os programas/ dispositivos para serem compatíveis com tais normas... para Windows e sistemas compatíveis com WINE e ainda Android e iPhone existirão aplicações gratuitas... quem quiser um passo mais além utiliza um dispositivo dedicado só para essa funcionalidade e evita todos os problemas associados a estar a utilizar um autenticador numa máquina onde código maligno pode mais facilmente estar a ser executado. Nesta altura que escrevo não tenho conhecimento de nenhum dispositivo em desenvolvimento, mas é fácil de adivinhar que se existir procura irá existir oferta.

    ResponderEliminar
  3. Esta e o teclado virtual são duas medidas de "segurança" que deviam ter desaparecido

    ResponderEliminar
  4. O Estado Português lá continua a promover a sua Chave Móvel Digital.. parecem mover-se á velocidade de um petroleiro.. quando tiver implementado em todo lado.. já toda a gente chegou á conclusão que não era uma boa solução..

    ResponderEliminar
  5. Eu uso Chave Móvel Digital mas instalei a app Autenticação Gov. Desta forma não recebo SMS, mas sim uma push

    ResponderEliminar