2019/08/31

Conta do criador do Twitter roubada via SMS


A conta do mais popular co-fundador do Twiter, Jack Dorsey (@jack) foi roubada por hackers usando a técnica do SIM swapping, que demonstra porque motivo não se pode / deve depender do telefone ou SMS para autenticação - como insistem os nossos bancos!

Ainda há dias alertávamos para o enorme risco de segurança que é ver os nossos bancos estarem a apresentar a autenticação via SMS como sendo um grande avanço. Nem de propósito, temos agora mais um caso mediático que demonstra os riscos dessa medida, com hackers a terem recorrido à técnica do SIM swapping para se apoderarem do número de telefone do fundador do Twitter, e daí ganharem controlo sobre a sua conta.






O SIM swapping consiste nos atacantes transferirem o número da vítima para um novo cartão SIM em seu poder, algo que pode ser conseguido via engenharia social (telefonando para o suporte técnico e tentando enganar o assiste com uma história do estilo "roubaram-me o telemóvel, e preciso urgentemente de conseguir recuperar o número") ou subornando um funcionário que possa realizar essa operação. Com isso, o telefone da vítima passa a estar sob controlo do atacante, destruindo por completo toda a suposta segurança que a autenticação 2-factor que essa via seria suposto garantir.

Como se vê, a técnica é suficientemente simples para poder ser utilizada "para brincar" com o fundador do Twitter... Pelo que já se pode imaginar quanto mais atractiva será para limpar euros das contas bancárias das futuras vítimas.

1 comentário:

  1. No caso do Twitter eles poderiam utilizar o WebAuthn que com dispositivos FIDO2 (Yubico, SoloKeys, etc.) torna-se muito complicado aos "ácaros" atacarem a conta, pelo menos remotamente, sem acesso ao dispositivo da pessoa.
    É sem dúvida milhões de vezes mais seguro que o SMS.
    O que falta claramente é uma aplicação segura tipo Threema, mas totalmente gratuita & aberta para que as empresas deixem de vez de utilizar o SMS... ou pelo menos dêem às pessoas uma alternativa que seja mais segura, que terceiros não possam facilmente contornar.

    ResponderEliminar

[pub]