05/06/2019

05/06/2019

Autenticação via SMS dá origem a roubo de mais de 100 mil dólares


Há muito que os especialistas em segurança têm recomendado que se pare de utilizar os SMS como forma de autenticação 2-factor, e infelizmente temos mais um caso que demonstra como a dependência no número de telefone se torna num grande factor de risco, tendo permitido roubar mais de 100 mil dólares de uma conta da Coinbase.


A utilização de um número de telemóvel como método de recuperação de conta continua a ser vista como conveniente por muitos utilizadores (e muitos sites e serviços continuam a insistir nessa prática), mas o problema é que isso se torna num enorme factor de risco. A maioria das pessoas assume que o seu número de telefone é algo seu... mas o problema é que isso é algo que pode mudar numa questão de minutos, propiciando um cenário de pesadelo digital, como nos conta um utilizador que foi roubado em mais de 100 mil dólares em criptomoedas.


Toda a conveniência e suposta segurança da autenticação ou recuperação de contas via SMS / número de telefone cai por terra quando se contempla a eventualidade de um atacante se apoderar do nosso número. E isso é algo que infelizmente se tem tornado cada vez mais frequente, bastando um pouco de engenharia social - alguém que ligue para o operador, com dados pessoais sobre a vítima obtidos com base naquilo que partilha nas redes sociais, a contar uma história do tipo "roubaram-me o telemóvel e documentos, preciso urgentemente de um novo cartão SIM", etc.


A partir desse momento, o número de telefone que era o nosso aliado para efeitos de autenticação torna-se no nosso pior inimigo, já que permite a um atacante proceder à recuperação de conta, autenticação 2FA via SMS, e por aí adiante.

Neste caso em concreto a história torna-se ainda mais "ridícula" por isto não ter sido feito apenas uma vez, mas sim duas vezes em dias consecutivos, tendo culminado com o atacante a conseguir entrar na conta de Gmail da sua vítima, e a partir daí ter conseguido aceder ao Coinbase, de onde limpou  criptomoedas no valor de 100 mil dólares.


O relato do incidente poderá servir de exemplo para quem alguma vez se poder ver na mesma situação, existindo alguns sinais de alarme evidentes que foram ignorados por não se estar a prever que fosse um destes casos (o cartão SIM deixar de funcionar, as notificações de alguém estava a aceder à conta da Google, etc.) Mas acima de tudo, serve como mais um exemplo que demonstra que não se deve utilizar o número de telefone para efeitos de autenticação ou recuperação de conta. Utilizem os códigos de autenticação gerados por apps estilo Google Authenticator ou, para quem quiser levar a coisa mesmo a sério, chaves físicas estilo YubiKey.

... Ao estilo do que acontece com os backups, esta é daquelas coisas que importa fazer *antes* de se ser atacado e ficar a desejar tê-lo feito mais cedo.

0 comments:

Enviar um comentário