A conta do mais popular co-fundador do Twiter, Jack Dorsey (@jack) foi roubada por hackers usando a técnica do SIM swapping, que demonstra porque motivo não se pode / deve depender do telefone ou SMS para autenticação - como insistem os nossos bancos!
Ainda há dias alertávamos para o enorme risco de segurança que é ver os nossos bancos estarem a apresentar a autenticação via SMS como sendo um grande avanço. Nem de propósito, temos agora mais um caso mediático que demonstra os riscos dessa medida, com hackers a terem recorrido à técnica do SIM swapping para se apoderarem do número de telefone do fundador do Twitter, e daí ganharem controlo sobre a sua conta.
The account is now secure, and there is no indication that Twitter's systems have been compromised.— Twitter Comms (@TwitterComms) August 30, 2019
The CEO of twitter just got his account hijacked, apparently by a bunch of SIM swappers who've been targeting high profile people and celebrities of late. Maybe this will finally get some real attention to the epidemic of SIM swapping happening right now? Not holding my breath. pic.twitter.com/Hw08euRnE2— briankrebs (@briankrebs) August 30, 2019
O SIM swapping consiste nos atacantes transferirem o número da vítima para um novo cartão SIM em seu poder, algo que pode ser conseguido via engenharia social (telefonando para o suporte técnico e tentando enganar o assiste com uma história do estilo "roubaram-me o telemóvel, e preciso urgentemente de conseguir recuperar o número") ou subornando um funcionário que possa realizar essa operação. Com isso, o telefone da vítima passa a estar sob controlo do atacante, destruindo por completo toda a suposta segurança que a autenticação 2-factor que essa via seria suposto garantir.
Como se vê, a técnica é suficientemente simples para poder ser utilizada "para brincar" com o fundador do Twitter... Pelo que já se pode imaginar quanto mais atractiva será para limpar euros das contas bancárias das futuras vítimas.
No caso do Twitter eles poderiam utilizar o WebAuthn que com dispositivos FIDO2 (Yubico, SoloKeys, etc.) torna-se muito complicado aos "ácaros" atacarem a conta, pelo menos remotamente, sem acesso ao dispositivo da pessoa.
ResponderEliminarÉ sem dúvida milhões de vezes mais seguro que o SMS.
O que falta claramente é uma aplicação segura tipo Threema, mas totalmente gratuita & aberta para que as empresas deixem de vez de utilizar o SMS... ou pelo menos dêem às pessoas uma alternativa que seja mais segura, que terceiros não possam facilmente contornar.