Há anos que os especialistas em segurança desconselham o uso de SMS para efeitos de validação ou autenticação 2-factor, no entanto, muito sites - e até os serviços bancários! - continuam a fazê-lo. E se não se consegue evitar isso, pelo menos pode tentar-se dificultar a utilização deste tipo de ataques.
Os ataques SIM swap consistem basicamente em engenhearia social, com o atacante a fazer-se passar pelo utilizador do cartão SIM legítimo, com uma história de que perdeu o cartão, ou foi roubado, e pedindo para que seja reactivado um novo cartão SIM na sua posse. Outro tipo de ataques tira partido da mesma engenharia social para tentar iniciar o processo de portabilidade do número para a conta de outro operador, sob controlo do atacante.
Estes ataquem têm sido cada vez mais numerosos, e quando combinados com campanha de phishing que consigam obter o nome de utilizador e password das vítimas, tornam-se extraordinariamente perigosos. Precisamente por isso, a FCC quer que os operadores de telecomunicações implementem sistemas mais rigorosos para validação da identidade dos clientes antes deste tipo de operações, e que também notifiquem os clientes no caso de ser efectuado qualquer um destes pedidos, para quem possam ser alertados de forma imediata em vez de potencialmente só se aperceberem do que se passa tarde demais.
Esperemos que por cá os nossos operadores estejam atentos e sigam o exemplo mas, idealmente, tentem manter-se afastados da utilização das validações 2-factor via SMS, optando pela geração de códigos usando uma app de autenticação.
Sem comentários:
Enviar um comentário (problemas a comentar?)