2019/08/28

Santander adere aos SMS - apesar de desaconselhado há anos


Perdendo a oportunidade para apostar em formas realmente seguras, o banco Santander opta por apostar nos SMS como forma de implementar a segurança exigida pela Directiva PSD2, ignorando todas as advertências em contrário dos especialistas de segurança.

O Santander está a mudar a forma de autenticação dos clientes, e a partir de 14 de Setembro passará a utilizar SMS como forma de autenticação e validação de operações - tal como muitos outros bancos nacionais fazem.


A Diretiva PSD2 / DSP2 veio trazer um conjunto de regras novas para aumentar a segurança dos Clientes na utilização da banca eletrónica. A partir de 14 de Setembro será obrigatório utilizar novos mecanismos de autenticação para acesso aos canais e para a execução de operações. Em termos práticos, as consequências são as seguintes:
1) Para efetuar um login no NetBanco ou na App utilizando o Nome de Utilizador e o Código de Acesso, será necessário inserir um código recebido por SMS. Em circunstâncias normais, este processo será repetido de 90 em 90 dias.

2) Para efetuar uma transferência ou um pagamento na App, mesmo que no login use o PIN, a Impressão Digital (Touch ID ou Fingerprint) ou o Reconhecimento Facial (Face ID), será necessário validar a operação com a introdução de um código recebido por SMS.

Embora à primeira vista isto pareça ser excelente para a segurança dos clientes, o grande problema é que a utilização de SMS para autenticação de 2-factores deixou de ser aconselhada há vários anos, por ser considerado inseguro - quer através de intercepção das mensagens quer do seu reencaminhamento.

Ao apostarem nos SMS para "segurança", o Santander - e restantes bancos nacionais que continuam a recorrer aos SMS - estão apenas a fazer com que se torne cada vez mais apetecível para os atacantes investirem nesse vector de ataque.

Já que tanto têm investido nas apps, bem mais lógico seria fazerem o envio dos códigos através de notificações nas próprias apps; ou até eliminando os códigos nesse caso, pedindo apenas a confirmação da validação da operação ou login, como fazem a Google e Facebook no caso de se utilizar autenticação 2-factor. De outra forma, parecem estar a cultivar as sementes para que, um destes dias, se comece a assistir a ataques direccionados em Portugal que se aproveitam da falsa-segurança dos SMS para começarem a roubar euros aos portugueses.

13 comentários:

  1. Mas o BPI também está a enveredar pela mesma politica.
    Desde à cerca de um mês passou a valdar as operações com código via SMS.
    Quando tinha a validação com o cartão MATRIZ
    Estão a retroceder nas politas de segurança!!!!

    ResponderEliminar
    Respostas
    1. O cartão matriz é bom para aumentar a dificuldade de alguém entrar na conta e/ ou realizar operações, mas tem o problema de que em si não garante que o cliente esteja ciente da operação que está realmente a ser requerida ao banco. Alguns atacantes modificam web sites/ aplicações, por vezes até interceptam e modificam os verdadeiros em tempo real de forma que a pessoa pensa que está a fazer algo e na realidade a parte maligna está a alterar os dados e até o tipo de operação por de trás sem que o cliente tenha qualquer ideia do que acontece... e quando lhe aparece para meter os códigos da matriz a pessoa pensa estar a autorizar algo que ele(a) pediu quando na realidade está a autorizar algo diferente, e depois até a confirmação no ecrã é malignamente alterada para parecer que foi autorizado o que o cliente legítimo pediu... e não o que foi solicitado na realidade.

      O SMS supostamente é para utilizar um meio de comunicação diferente (que supostamente o atacante não deverá controlar em simultâneo) para o banco confirmar que a operação solicitada é de facto a pretendida pelo cliente, e não algo que um atacante pediu.

      Que o SMS é vergonhosamente inseguro é do conhecimento generalizado por qualquer pessoa que se interesse minimamente pela área da segurança... mas os bancos por cá não se interessam assim tanto pela segurança, ou certamente o SMS & chamadas telefónicas estariam imediatamente excluídas. Na pior das hipóteses e-mail cifrado (OpenPGP/ S/MIME), ou um aplicativo qualquer dedicado só para receber as mensagens de confirmação seriam a escolha mais óbvia, pensando "dentro da caixa".

      Eliminar
    2. Mas no Santander e no BPI estas elações são Espanholas e não Portuguesas... Somos os bananas fazemos o que os outros governos nos mandam fazer.. Grande Costa mostarda é preferível começarmos todos a hablas eapanhol😂😂😂

      Eliminar
    3. Já tinhamos falado também do BPI:
      https://abertoatedemadrugada.com/2019/06/bpi-aposta-nos-sms-para-autorizar.html

      Eliminar
  2. Vergonhoso! Tenho conta no Santander e recuso-me a fazer qualquer movimento com este tipo de segurança. Parece que vou ter de passar certo tipo de ações para outro banco...

    ResponderEliminar
    Respostas
    1. Depois escreva aqui que outro banco é esse... parecem ter todos adoptado como método de envio de confirmação o SMS e fazem questão de não permitir qualquer outra forma. E já agora que outro método de autenticação permitem (E-mail? E-mail cifrado? Aplicação do próprio banco? Outro método?).

      Eliminar
  3. Excelente artigo, mas que propõe o autor para eu, que tenho um nokia 3310 e me recuso a ter telefones inteligentes, possa operar e fazer as transferências para o lar e o pagamento da água e luz? É que sou um semi info-incluído.

    Que propõe? Multibanco?

    Bom trabalho.

    ResponderEliminar
    Respostas
    1. O banco deveria disponibilizar chaves físicas FIDO2 de segurança, estilo as Yubikeys, que já serviriam para autenticar as operações feitas no computador sem necessidade de smartphones. Considerando as comissões que cobram aos clientes, ficava bem dentro do seu orçamento.

      Eliminar
    2. As FIDO2 não me parece que sirvam para este propósito. FIDO2 é bom para a fase de autenticação/ entrada na conta. Mas para a confirmação é necessário um método que permita verificar visualmente por uma terceira via que a operação realmente solicitada ao banco é aquela que o cliente pretende... ou seja: tem de dar para ler e de alguma forma confirmar seja depois copiando algum código para o web site/ aplicação ou algo que permita confirmar/ recusar a operação na aplicação terceira. Sendo a ideia que uma terceira via deve aumentar a complexidade para o atacante.
      Para tal a única coisa que considero viável é algo recente chamado SQRL (Secure Quick Reliable Login) que permite tal, e é gratuito, e pode ser implementando por qualquer um que siga as especificações.

      Eliminar
  4. Na CGD além da matriz também vão passar a enviar SMS já a partir do próximo mês. Caso alguém não ative o SMS deixa de conseguir operações através de HomeBanking.

    ResponderEliminar
    Respostas
    1. Exacto, assim garantem uma operação mais insegura e menos privada, o que todos querem (ironia).

      Eliminar
  5. Os bancos querem lá saber se os sms são seguros ou não, são obrigados a utilizar um outro meio de transmitir a informação para confirmação, se o SMS não for explicitamente proibido é mesmo isso que vão utilizar porque é o mais fácil de fazer/ implementar... além de certamente receberem todas as semanas propostas de empresa diferentes a sugerir esse método que eles vendem para ficar "de acordo" com as novas normas.

    E pensem lá bem, que outros métodos existem fáceis de implementar com resistência à adopção quase zero? NENHUM.

    Se existisse alguma aplicação de mensagens seguras, que toda a gente utilizasse e fosse gratuita e aberta certamente que os bancos utilizariam tal, mas não existe e provavelmente nunca existirá.

    Para o futuro, quando os portugueses começarem a ser furtados à grande como aconteceu já em outros países devido às enormes facilidades de ter acesso às sms's de autenticação talvez os bancos se vejam obrigados, depois de mudarem a lei, a adoptar algo que seja seguro.

    A única coisa mais segura de que tenho conhecimento e que teriam custos zero (depois de implementado) para o banco, e custo zero para os clientes (a menos que optem por soluções pagas) é algo chamado SQRL (Secure Quick Reliable Login) que permite além de autenticar nos web sites ainda permite confirmar operações bancárias por exemplo (ex.: "Deseja autorizar a transferência de €100 para a conta DE00 0000 0000 0000 0000 00?" [Sim, transferir.] [Não: cancelar esta operação!]).
    Mas este SQRL necessitará de algum computador/ smartphone/ tablet ou dispositivo dedicado e ligação à Internet para transmitir os dados de autenticação.
    Como funcionaria o SQRL? Estão no web site ou aplicação do banco, e quando chegam à parte para inserirem o código enviado por sms, em vez de tal aparece antes um código QR que podem ler com um outro dispositivo ou clicam na própria imagem e abre a aplicação localmente de autenticação, confirmam os dados exibidos e a operação é autorizada (ou recusada por vós).

    Este SQRL é a única coisa que vejo no médio/ longo prazo para acabar com os SMS, e mesmo assim só se os clientes como eu e outros pressionarem os bancos para adoptarem tal sistema, pelo menos como opção, para que pelo menos tenham alguma hipótese de realmente proteger as operações bancárias mais sensíveis, coisa que com os SMS é impossível já que desde o envio até chegar ao aparelho existem múltiplas formas de lhe aceder legal e ilegalmente (dependendo de quem o faz).

    ResponderEliminar
  6. Os bancos deveriam de disponibilizar o ChipTAN, como todos os bancos na Alemanha já disponibilizam há anos, em que o dispositivo (que custa cerca de 15 Euros) utiliza o chip do cartão multibanco para gerar o código que actualmente é enviado por SMS pelos bancos portugueses. A desvantagem é que precisa de andar sempre com o dispositivo consigo. https://en.wikipedia.org/wiki/Transaction_authentication_number#ChipTAN_/_Sm@rt-TAN_/_CardTAN
    Na Alemanha os bancos já evoluíram para Apps para smartphones...

    ResponderEliminar