Apesar dos especialistas de segurança alertarem, há anos, para que não se deva usar o número de telefone (e consequentemente, telefonemas ou mensagens SMS) como forma de validação, isso é algo que continua a ser feito de forma bastante frequente, e este grupo de hackers sabia tirar partido disso com grande mestria.
Antes das autoridades terem detido vários dos seus membros e interromperem a sua operação, o grupo Lapsus$, que era constituído maioritariamente por adolescentes, teve múltiplos casos de grande visibilidade, tendo-se infiltrado em empresas como a Microsoft, Cisco, Nvidia, Samsung, Vodafone, Uber, e até deu que falar por cá, com um ataque ao grupo Impresa.
As autoridades dos EUA já divulgaram um relatório que analisa as tácticas usadas pelo grupo, e onde os ataques SIM Swap, em que se apoderam do número de telefone de uma vítima - e a partir daí ficando com acesso aos métodos de recuperação e validação de conta de serviços que usam o telefone para esse efeito - tinham papel privilegiado.
Terá havido um caso em que o grupo se terá tentado apoderar do número de telefone de um agente do FBI, mas que acabou por falhar devido a um bloqueio especial que tinha sido aplicado à conta. Uma funcionalidade que tem sido recomendada que os operadores de telecomunicações disponibilizem aos clientes que quiserem protecção adicional contra ataques SIM Swap.
Aliás, as principais conclusões do relatório são exactamente as que têm sido repetidas incessantemente há anos: de não se utilizar SMS ou telefonemas como método de validação segura; exigir segurança adicional em todos os casos de transferência de cartões SIM; adoptar modelos de segurança zero-trust; evoluir para sistemas de login sem password (como as Passkeys); e além da prevenção, recomendar que as empresas também não descurem a parte da reposição e recuperação em caso de ataques, para que retomem a actividade normal no menor espaço de tempo possível e minimizem o impacto negativo.
Sem comentários:
Enviar um comentário (problemas a comentar?)