Usar o SMS como uma forma de autenticação de dois fatores sempre foi popular entre os entusiastas de criptografia. Afinal, muitos usuários já estão negociando suas criptomoedas ou gerenciando páginas sociais em seus telefones, então por que não simplesmente usar SMS para verificar ao acessar conteúdo financeiro sensível?
Infelizmente, os vigaristas recentemente descobriram a exploração da riqueza escondida sob essa camada de segurança por meio de troca de SIM, ou o processo de redirecionamento do cartão SIM de uma pessoa para um telefone que está na posse de um hacker. Em muitas jurisdições em todo o mundo, os funcionários de telecomunicações não solicitarão identidade do governo, identificação facial ou números de previdência social para lidar com uma simples solicitação de portabilidade.
Combinado com uma busca rápida por informações pessoais disponíveis publicamente (bastante comum para os interessados da Web3) e perguntas de recuperação fáceis de adivinhar, os falsificadores podem rapidamente transferir o SMS 2FA de uma conta para o telefone e começar a usá-lo para meios nefastos. No início deste ano, muitos Youtubers de criptomoedas foram vítimas de um ataque de troca de SIM onde hackers postaram vídeos de golpes em seu canal com texto orientando os espectadores a enviar dinheiro para a carteira do hacker. Em junho, o projeto de token não fungível (NFT) da Solana, Duppies, teve sua conta oficial do Twitter violada por meio de um SIM-Swap com hackers twittando links para uma falsa moeda furtiva.
Em relação a esse assunto, o Cointelegraph conversou com o especialista em segurança da CertiK, Jesse Leclere. Conhecida como líder no espaço de segurança blockchain, a CertiK ajudou mais de 3,600 projetos a proteger US$ 360 bilhões em ativos digitais e detectou mais de 66,000 vulnerabilidades desde 2018. Veja o que Leclere tinha a dizer:
“O SMS 2FA é melhor que nada, mas é a forma mais vulnerável de 2FA atualmente em uso. Seu apelo vem de sua facilidade de uso: a maioria das pessoas está no telefone ou o tem à mão quando faz login em plataformas online. Mas sua vulnerabilidade às trocas de cartões SIM não pode ser subestimada.”
Leclerc explicou que aplicativos autenticadores dedicados, como Google Authenticator, Authy ou Duo, oferecem quase toda a conveniência do SMS 2FA, eliminando o risco de troca de SIM. Quando perguntado se os cartões virtuais ou eSIM podem evitar o risco de ataques de phishing relacionados à troca de SIM, para Leclerc, a resposta é um claro não:
“É preciso ter em mente que os ataques de troca de SIM dependem de fraude de identidade e engenharia social. Se um mau ator pode enganar um funcionário de uma empresa de telecomunicações para pensar que ele é o proprietário legítimo de um número anexado a um SIM físico, ele também pode fazê-lo para um eSIM.
Embora seja possível impedir esses ataques bloqueando o cartão SIM no telefone (as empresas de telecomunicações também podem desbloquear telefones), Leclere, no entanto, aponta para o padrão-ouro de usar chaves de segurança físicas. “Essas chaves se conectam à porta USB do seu computador e algumas são habilitadas para comunicação de campo próximo (NFC) para facilitar o uso com dispositivos móveis”, explica Leclere. “Um invasor precisaria não apenas saber sua senha, mas também tomar posse dessa chave fisicamente para entrar em sua conta.”
Leclere apontou que, depois de exigir o uso de chaves de segurança para funcionários em 2017, o Google sofreu zero ataques de phishing bem-sucedidos. “No entanto, eles são tão eficazes que, se você perder a chave vinculada à sua conta, provavelmente não poderá recuperar o acesso a ela. Manter várias chaves em locais seguros é importante”, acrescentou.
Por fim, Leclere disse que, além de usar um aplicativo autenticador ou uma chave de segurança, um bom gerenciador de senhas facilita a criação de senhas fortes sem reutilizá-las em vários sites. “Uma senha forte e exclusiva combinada com 2FA não SMS é a melhor forma de segurança da conta”, afirmou.
Fonte: https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use
navegação pós
