A maioria das pessoas pode pensar que associar o seu número de telefone a um serviço online, ou usar SMS como sistema de autenticação 2-factor é algo que garantirá a sua segurança - mal sabendo que pode ser precisamente o caso oposto.
Existe um grupo de hackers na internet que se reúne no OGUSERS, e que tem por missão apoderar-se das mais atractivas contas do Instagram e Twitter; contas que tenham nomes populares, curiosos, ou meramente curtos. E embora sejam muitas as tácticas utilizadas para roubar estas contas dos legítimos proprietários, uma das técnicas mais comuns consiste em obter controlo sobre o seu número de telemóvel, através do que é chamada "SIM swapping".
As pessoas assumem, inocentemente, que o seu número de telefone é algo intrinsecamente privado e que dificilmente poderá ser acedido por um atacante. Na verdade é precisamente o oposto. Por cerca de $100 um hacker pode convencer um funcionário de um operador de telecomunicações a activar-lhe uma "2ª via" do cartão SIM pretendido, num processo idêntico ao que seria feito se o cartão original tivesse sido perdido ou roubado. A diferença é que neste caso o número passa a estar sob controlo do hacker, que numa questão de minutos pode varrer as contas da vítima e iniciar o processo de recuperação de conta, usando o número de telefone como método de validação de que é ele o detentor legítimo.
Como se pode imaginar, este é o tipo de "terror" que só quem passa por ele é que ganhará consciência de que é mesmo real - mas os relatos que se têm sucedido parecem ter sido suficientes para que o Instagram, finalmente, implementasse um sistema 2-factor que já não obriga a utilizar SMS. Se isso será suficiente para fazer abrandar este grupo de hackers que se sentiu atraído pelo roubo de contas no Instagram... isso é que já me parece ser demasiado optimista.
Alias, basta imaginar que com todo o tempo livre que muitos jovens têm entre mãos (tal como nós no nosso tempo), facilmente alguns se possam sentir frustrados com o facto de que quando chegam à internet já todos os "nomes" estão registados, criando algum rancor para com todos aqueles que tiveram a "prioridade" de cá estar antes deles. Não me custa nada antever que alguns considerem um divertimento tentarem apoderar-se de algumas contas... e que depois, ao se revelar um negócio lucrativo (estas contas podem ser vendidas por milhares de dólares, dependendo do nome), se torne num ciclo vicioso.
Dito isto, fica o alerta dado... se têm contas em que o número de telefone é a vossa "chave"... será conveniente fazerem as devidas alterações para que não fiquem dependentes de uma chave que na prática é mais vulnerável do que se gostaria de acreditar.
0 comments:
Enviar um comentário