A autenticação de dois fatores (2FA) fornece uma camada extra de segurança que as senhas sozinhas não podem oferecer. A exigência de uma etapa extra para que os usuários verifiquem sua identidade reduz a chance de um agente mal-intencionado obter acesso aos dados.
Um dos métodos mais comuns de 2FA são as mensagens de texto SMS. O problema é que o SMS não é realmente um meio seguro. Os hackers têm várias ferramentas em seu arsenal que podem interceptar, fazer phishing e falsificar SMS. Apesar dessa falha de segurança e das melhores opções de autenticação, a 2FA baseada em SMS ainda é amplamente usada devido à forma como nada mais é necessário.
Como os hackers interceptam SMS
É sempre uma boa ideia adicionar 2FA a qualquer aplicativo para aumentar a segurança, uma vez que exigir autenticação adicional para qualquer login garante melhor proteção. À medida que os ataques de senha estão se tornando mais sofisticados, no entanto, fica mais evidente que até mesmo senhas complexas podem ser quebradas.
Por que usar uma forma de comunicação insegura para essa etapa de segurança extra? Afinal, as mensagens SMS são baseadas em redes telefônicas. Na verdade, os hackers originalmente eram um bando de pessoas que encontravam maneiras legais de contornar as redes telefônicas. Interceptar SMS é realmente considerado “velho” para muitos hackers.
Como nosso fundador Daniel Cid aponta, não são apenas as redes telefônicas, mas as companhias telefônicas que são ruins em segurança.
“Seu correio de voz é protegido por apenas um PIN de 4 dígitos. E na maioria das operadoras você pode acessar seu correio de voz remotamente.
Fácil de phish . Se você souber algumas informações básicas sobre a pessoa, poderá alterar o PIN.
Fácil de falsificar. É muito fácil falsificar uma mensagem SMS. Não há SSL ou certificado para verificar de onde realmente veio. ”
Ao longo dos anos, o Google tomou medidas para tentar proteger e verificar o remetente desses SMS. Se você está interessado nisso para sua empresa, pode aprender um pouco mais sobre isso aqui: Como funciona o SMS verificado.
Spoofing e Phishing
O spoofing pode ser combinado com o phishing para obter acesso a uma conta. Esse processo permite que os hackers falsifiquem uma mensagem para fazê-la parecer que vem de uma fonte legítima. A mensagem alerta a vítima de que ela precisa responder com o código de segurança. Simultaneamente, o hacker aciona uma solicitação 2FA de login. Se a vítima responder com o código, o hacker pode usá-lo para obter acesso.
Seguir as práticas recomendadas para evitar phishing não é suficiente para tornar a autenticação SMS segura. Como Daniel menciona, um hacker com informações básicas sobre a vítima pode ter o suficiente para ter seu PIN alterado.
O mesmo método de engenharia social pode ser usado para trocar informações do SIM por um número de telefone.
Um hacker pode simplesmente fingir ser uma vítima e ativar um novo telefone com o número. Antes que a vítima perceba, o hacker já terá violado qualquer 2FA. Isso é conhecido como troca de SIM.
Este processo pode parecer um pouco complicado, mas é surpreendentemente eficaz. Por exemplo, o Cloudflare foi violado usando um método semelhante . Seu provedor de telefone, AT&T, foi levado a redirecionar seu correio de voz e, em seguida, o acesso ao seu e-mail foi obtido por meio de um processo de recuperação de conta 2FA. Se isso pode acontecer com um líder do setor de segurança cibernética, pode acontecer com qualquer pessoa.
Protocolo de Área de Trabalho Remota (RDP)
Os hackers também podem trocar informações do SIM por meio de um protocolo de área de trabalho remota (RDP). Esses ataques requerem engenharia social inicial para que o programa RDP seja instalado. Como Joseph Cox relatou à Vice em janeiro de 2019, os hackers não têm problemas em obter acesso remoto aos sistemas da companhia telefônica. Um hacker chegou a chamar alguns funcionários e gerentes de “morte cerebral”.
Chamadas de engenharia social
Um método popular mais recente que os invasores usam para obter seus códigos 2FA SMS é fazer a engenharia social do seu provedor de serviços móveis e fingir ser você. Eles podem até usar informações sobre você que obtiveram por outros meios para solicitar um SIM secundário. Eles podem alegar que o perderam ou que foi roubado e, em seguida, interceptar a recepção do novo SIM e usá-lo. Normalmente, quando isso acontece, o seu próprio SIM perde imediatamente o serviço porque o seu número agora está totalmente sob o controle do invasor. Nesse ponto, eles podem solicitar códigos 2FA à vontade. Este exemplo é um método de baixa tecnologia bastante eficaz.
Melhores alternativas para 2FA SMS
Embora seja compreensível que se evite 2FA baseado em SMS devido a essas preocupações, isso não resolve o problema de precisar de 2FA em primeiro lugar. Para evitar força bruta e outros tipos de ataques direcionados à autenticação somente por senha, alguma forma de 2FA é necessária.
A boa notícia é que existem alternativas mais seguras ao 2FA baseado em SMS. Implementar uma dessas opções ajudará a garantir que suas contas fiquem mais seguras contra pessoas mal-intencionadas.
Autenticação de Hardware
A autenticação de hardware depende de um dispositivo físico dedicado que concede acesso à conta. Junto com a senha, os usuários ainda terão que inserir um código de token aleatório gerado pelo dispositivo. Os logins falharão automaticamente sem o código gerado.
A natureza física desse método tem o potencial de perda ou roubo de dispositivos, mas resolve alguns dos problemas de segurança inerentes ao 2FA baseado em SMS.
Autenticação de Software
A autenticação de software é essencialmente o mesmo princípio da autenticação de hardware, mas em vez de exigir um dispositivo físico, os códigos de token são gerados com um aplicativo móvel. O aplicativo de autenticação mais popular é o Google Authenticator, mas existem muitas outras opções por aí. Por exemplo, a RSA agora oferece sua autenticação SecurID como um aplicativo.
Pode parecer contra-intuitivo recomendar autenticação baseada em um dispositivo móvel, mas o software não depende de SMS ou da rede telefônica para autenticação, o que elimina a falha inerente no 2FA baseado em SMS. Este tipo de autenticação ainda está aberto a phishing, portanto, os cuidados habituais devem ser tomados.
Autenticação baseada em IP
Este método verifica o endereço IP do usuário ao fazer login. Você só permite logins de endereços e intervalos IP conhecidos. A autenticação baseada em IP pode ser usada em conjunto com outras formas de autenticação para adicionar outra camada de segurança.
Conclusão
Concluindo, os telefones e mensagens de texto foram projetados tendo em mente a conveniência, não a segurança. Se você for o alvo de um ataque, confiar no SMS para autenticação pode, na verdade, causar um problema maior do que soluciona. No entanto, o SMS ainda é um método 2FA muito popular, apesar desses problemas, principalmente devido à sua familiaridade com o usuário médio.
Se uma opção mais segura para 2FA estiver disponível, utilize-a. Se SMS for a única opção 2FA disponível, é compreensível escolhê-la em vez de nenhuma proteção. No entanto, certifique-se de se informar sobre os riscos que vêm junto com isso.
Algumas pessoas com experiência em tecnologia ainda optam pelo SMS 2FA porque ele fornece a rota mais fácil para recuperar informações. Mas, nesses casos, ainda há uma maneira inteligente de usar o SMS 2FA. Você pode manter um cartão SIM totalmente separado que é usado exclusivamente para receber códigos 2FA. Isso torna muito mais difícil para qualquer invasor descobrir o número e comprometer a segurança.
Embora métodos 2FA mais fortes sejam recomendados, eles não substituem uma boa estratégia de senha. Pense nisso da mesma forma que pensa na sua casa: uma fechadura forte na porta da frente é ótimo, mas não importa se você deixar a chave embaixo do tapete.
Fonte: Sucuri
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
