24/05/2019

24/05/2019

"SIM Swap" é cada vez mais frequente e torna autenticação via SMS num risco


Há vários anos que a autenticação 2-factor via SMS está a ser desaconselhada, e são cada vez mais frequentes os casos que demonstram os seus riscos.


O recuso à autenticação 2-factor é, nos dias que correm, indispensável para manter a segurança dos acessos digitais. Depender unicamente de uma password para o fazer é algo que nos deixa expostos a qualquer atacante que a consiga obter - por exemplo, através de malware capaz de espiar aquilo que escrevemos num teclado. A evolução para a autenticação 2-factor, fazendo com que seja necessária uma prova de autenticação adicional para além da password, veio resolver estes casos - mas a utilização dos SMS, que em tempos pareciam seguros, é agora algo completamente diferente.

São cada vez mais os casos de redes que se pode dizer que são especializadas no chamado "SIM Swapping", apoderando-se do número de telefone da vítima, e assim ganhando acesso a todos os SMS que lhe seriam destinados, incluindo os códigos de autenticação 2-factor enviados por esta via. São tácticas que têm permitido roubar milhões em criptomoedas (um dos alvos preferenciais deste tipo de ataques) e que fazem com que a utilização de SMS para autenticação seja, neste momento, mais um risco do que uma segurança.

Em vez de contribuir para a segurança, a "facilidade" com que um atacante se pode apoderar do número de telefone da vítima faz com que a dependência nos SMS se torne numa porta de entrada que facilita o roubo.

Tal como se deve exigir que os serviços forneçam métodos de autenticação 2-factor para maior segurança, deve-se também exigir que deixem de utilizar SMS para este efeito (caso ainda o façam). A utilização de um código de autenticação usando uma app, ou até usando o smartphone como chave física (como recentemente passou a ser possível com os Android) são opções muito mais recomendáveis, e que livram os utilizadores do risco de perderem tudo assim que alguém se apodera do seu número de telefone.

0 comments:

Enviar um comentário