2019/06/26

BPI aposta nos SMS para autorizar operações - contrariando recomendações de segurança


Ignorando por completo todas as recomendações de segurança, o BPI decidiu reforçar a aposta nos SMS como forma de autorizar operações, dispensando a utilização dos códigos do cartão matriz.

Há anos que temos os especialistas a alertar para os perigos da utilização dos SMS para efeitos de autenticação, devido à facilidade dos ataques SIM Swap em que grupos de atacantes se apoderam do número de telefone dos seus alvos - e infelizmente não vão faltando casos a comprová-lo. Mas indiferente a isto, o BPI acha que é o momento ideal para apostar no SMS como forma de autorizar operações, em vez de recorrer aos habituais códigos no cartão matriz; embora algumas operações possam continuar a pedir um SMS e código matriz das respectivas coordenadas.


Ora... não é que o recurso ao cartão matriz seja um sistema perfeito (basta uma fotocópia ou foto para apanhar todos os códigos), mas estar a apostar nos SMS numa altura em que todos o desaconselham é uma péssima jogada estratégica. Estando o BPI a investir tanto na utilização da sua app BPI Net, melhor teria sido fazerem o envio dos códigos de autenticação via notificação, que pelo menos sempre evitava que alguém pudesse receber o código assim que clonasse ou roubasse o cartão SIM (e o processo de reinstalar e reautorizar a app num novo smartphone sempre serviria como sinal de alerta para um potencial ataque, permitindo bloquear ou adiar operações suspeitas).

É pena ver um dos grandes bancos nacionais em contra-ciclo com as recomendações de segurança... mas esperemos que seja algo que possa ser rectificado rapidamente.

13 comentários:

  1. eles estao se a marimbar se der barraca eles lavam as maos e prontos.

    ResponderEliminar
  2. Ao menos não tem teclados virtuais a pior medida de segurnaça de sempre.

    ResponderEliminar
  3. Não sendo de todo especialista na matéria, para além da solução de envio dos códigos de autenticação via notificação, qual para vocês é a melhor solução para este tipo autorização ?

    ResponderEliminar
    Respostas
    1. Os especialistas recomendam a utilização de "chaves físicas", sendo que o smartphone poderá cumprir essa função (sem necessidade de SMS).

      Eliminar
  4. Portanto, deixa de ser tal como no Montepio (matriz + SMS) e passa para o modelo idêntico ao do Millennium BCP (apenas SMS).

    ResponderEliminar
  5. O millenium bcp pede-te sempre três dígitos (à sorte) do teu código muticanal para validar qualquer operação, acresentando, em determinadas operações, a autenticação com código enviado por sms/token.

    ResponderEliminar
    Respostas
    1. Em ambiente PC o código multicanal só é pedido no momento em que o cliente inicia a sessão, nAn quando faz operações bancárias.

      Eliminar
  6. O problema do cartão matriz é que a pessoa não sabe o que realmente está a autorizar se o programa maligno estiver a simular tudo o que se está a ver no ecrã... mas por trás estiver a alterar os valores e o destinatário.

    Por outro lado a rede pública de telefones (incluindo a rede pública celular) não foi desenvolvida com a segurança em mente... logo utilizá-la é colocar os clientes em risco.
    É preciso lembrar que o cliente não tem controlo verdadeiro sobre o número de telefone que lhe é atribuído, prova disso é que existem montes de casos relatados de clone de números ou de cancelarem o número do cliente e os atacantes passaram a ser o utilizador (via cooperação da empresa telefónica seja com conhecimento do que está a fazer ou não) e ainda o problema das redes telefónica públicas estarem interligadas utilizando um protocolo que permite vários abusos incluindo receber as ditas mensagens de verificação em outros operadores que não o do cliente verdadeiro. Se o cliente estiver a realizar a operação no mesmo smartphone onde recebe a SMS ainda existe a possibilidade do programa maligno ler a mensagem e ler o código a ser colocado e assim ultrapassar a segurança.

    Para resolver o problema, para além das aplicações do próprio banco por exemplo nos smartphones surgiu finalmente a opção de utilizar o standard/ protocolo gratuito chamado SQRL (Secure Quick Reliable Login) que permite além da identificar e autenticar o cliente perante o serviço (via chave pública/ privada Ed25519) ainda está incluído no protocolo SQRL a possibilidade de envio de mensagens com duas opções e isto permite que os bancos (por exemplo) exibam no ecrã um código QR e/ ou link que a pessoa clica e que exibe uma mensagem do género { "Deseja transferir €28,34 para a conta PT2603.3948.309283.03?" [Não! Abortar esta transferência] [Sim. Prosseguir com esta transferência] } e a pessoa pode escolher uma das opções ou até mesmo cancelar tudo (como se não tivesse sequer visto a mensagem e as opções) e desta forma é muito mais difícil de um atacante simular ser o cliente desse banco, em especial se o banco não permitir qualquer forma de autenticação alternativa.

    Se o cliente utilizar um outro smartphone dedicado só para o autenticador SQRL ou até mesmo um dispositivo de segurança dedicado só para esse fim então ainda torna tudo muito mais seguro, porque mesmo que o dispositivo onde se realiza a operação bancária esteja comprometido o autenticador mantêm-se seguro e assim nenhuma operação é aprovada.
    Utilizar um dispositivo externo tem a desvantagem de permitir ataques de phishing a menos que exista de alguma forma uma interligação mais estreita entre o software no dispositivo que pretende obter a autenticação e o dispositivo externo que faz a autenticação... ex.: o browser enviar de alguma maneira o endereço verdadeiro onde o cliente está juntamente com os dados presentes no código QR/ link.

    ResponderEliminar
  7. É só ignorantes ao comando das instituições e mais os departamentos "técnicos"...

    ResponderEliminar
  8. https://www.youtube.com/watch?v=OtVCtBJtp9Y

    ResponderEliminar
  9. Penso que estará relacionado com a adaptação para o OBA/PSD2. A partir de 14 de setembro poderá ser necessário usar SMS para fazer login no HB. Os bancos estão a adaptar-se à diretiva europeia.

    ResponderEliminar

[pub]