Com cada vez mais serviços a exigirem a utilização de códigos 2-factor para autenticação (2FA), também os atacantes se adaptam com ferramentas que facilitam a sua obtenção.
Há muito que se alerta que o tradicional "username e password" não são suficientes para manter uma conta em segurança, sendo que muitos serviços - nomeadamente os que envolvem dinheiro - já começaram a exigir a utilização de métodos 2FA, que para além no nome e password também pedem um código adicional que muda a cada 30 segundos, ou que é enviado via SMS (com este último método a não ser recomendado). Em resultado disso, também as tácticas utilizadas pelos atacantes se adaptam em conformidade, sendo necessário estar mais alerta que nunca.
Há várias formas de ultrapassar sistemas de autenticação 2FA. Um deles consiste em infectar o computador da vítima para lhe roubar os cookies de autenticação, permitindo ao atacante entrar na conta como se fosse o utilizador legítimo, técnica que foi utilizada contra vários YouTubers. Mas, na maior parte das vezes, isso é feito através de engenharia social, com telefonemas falsos - como aqueles que por cá são frequentes nas fraudes via MB Way. O problema é que para isso é preciso ter as habilidades correctas e capacidade de manipulação para enganar alguém ao telefone, o que nem sempre é fácil de fazer - e é aí que as novas ferramentas dão uma ajuda.
Já começaram a surgir bots criados especificamente para o roubo de códigos 2FA, que fazem chamadas telefónicas automatizadas, de modo a que o atacante não tenha que se preocupar com essa parte do "negócio". Estes bots podem fazer-se passar por coisas como chamadas automatizadas dos serviços que utilizam, apresentando justificações plausíveis como "detectamos uma transacção suspeita na sua conta, para a cancelar por favor introduza o código que apareceu no seu smartphone para validar a sua identidade" - sendo que, se o fizerem, na realidade estão a dar ao atacante a informação que ele precisa para efectivamente poder aceder à conta.
Importa estar sensibilizado para este tipo de ataques e informar o máximo de pessoas sobre ele. Nunca, mas nunca, dar levianamente qualquer tipo de informação que seja pedida via telefone. Este é o tipo de situação em que compensa ser paranóico. Frequentemente recuso-me até a dar dados como o NIF ou BI em telefonemas que dizem ser do operador de telecomunicações ou da televisão - optando por lhes perguntar eu como é que me podem validar eles que são quem dizem ser! :)
Mas a verdade é que, nas condições certas, estando-se sob stress do trabalho outras situações, receber um telefonema com carácter de aparente urgência pode despoletar uma reacção em que a pessoa se limita a fazer o que é pedido (inserir um código que pensa ser para cancelar uma operação fradulenta), quando está a fazer precisamente o oposto. Ter muita atenção, desconfiar de tudo, e não dar qualquer código a quem quer que seja.
2021/11/03
Subscrever:
Enviar feedback (Atom)
Sem comentários:
Enviar um comentário (problemas a comentar?)