É uma boa prática de segurança ativar a autenticação em duas etapas nas suas contas: mesmo que alguém descubra sua senha, ainda será necessário ter um código adicional para acessar suas informações.

Em boa parte dos serviços, a autenticação em duas etapas funciona por meio de um código numérico registrado em aplicativos específicos, como Google Authenticator, Authy ou 1Password. Mas muitos ainda fornecem a verificação por SMS — e pesquisadores de segurança resolveram mostrar quão fácil é interceptar as mensagens de texto da sua operadora.

A Forbes publicou um video de um grupo de hackers da Positive Technologies (nome familiar, mas nada a ver com a empresa brasileira) mostrando como foi possível acessar uma carteira de bitcoin na Coinbase por meio da técnica de interceptação de SMS. O vídeo possui apenas três minutos:

Tudo começa quando os pesquisadores tentam recuperar a senha de uma conta do Gmail; eles obtém previamente alguns dados (como nome e sobrenome) da “vítima” e então solicitam um SMS com o código de recuperação, que é interceptado por meio de uma ferramenta. Depois que o Google confirma a identidade do usuário, é possível mudar a combinação da conta.

E, como tudo o que você precisa para atacar uma pessoa é o acesso aos e-mails dela, bastou entrar na Coinbase e acessar o “Esqueci minha senha”. O serviço de carteira de criptomoedas enviou um link de troca de senha, e a alteração foi realizada. Conta comprometida com sucesso.

Isso é meio assustador, mas é tão antigo que não sabemos por que as empresas ainda insistem em mandar dados importantes por SMS. A rede SS7 (Sistema de Sinalização 7), que é utilizada para gerenciar ligações telefônicas e mensagens de texto, tem falhas conhecidas (nem todas corrigidas pelas operadoras) e pode ser a causa de um ataque a uma conta online.

Ou seja, o SMS, além de não ser a coisa mais confiável do mundo (algumas mensagens minhas simplesmente nunca chegam; parece até que ficam retidas em Curitiba), é inseguro.

Vale lembrar que, no Google, você pode remover seu número de celular da autenticação em duas etapas. Recomendo.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Jailson

Usam isso para "roubar" o whatsapp e pedir dinheiro a familiares/amigos.
http://g1.globo.com/fantast...

Jailson
Usam isso para "roubar" o whatsapp e pedir dinheiro a familiares/amigos. http://g1.globo.com/fantastico/noticia/2017/02/bandidos-aplicam-golpe-whatsapp-para-tirar-dinheiro-de-vitimas.html
Jailson
É mais fácil apelar para o velho estelionato e ir na operadora, falar que perdeu o celular e pedir para recuperar o número. Golpistas que usam cheques clonados fazem isso direto.
Archanous
Parece notícia patrocinada. Não é tão fácil e óbvio invadir uma operadora e interceptar a resposta de uma MSC e mudar a direção para onde está o hacker. É até mais fácil criar um aplicativo virus que seja amigável e que na realidade lê o conteúdo do autenticador e envie de tempos em tempos os valores utilizados. Além do mais que via apps, inclusive de jogos isso pode estar sendo feito agora. Acho ingênuo supor que a segurança via app é extrema sendo que não se filtra em certos apps o que ele está realmente fazendo.
Luiz Henrique
Seria uma pena se a PESTE do Instagram só aceitasse códigos por SMS
Laerte Victor
eu preciso de mais etapas de autenticação, porque todo mes a minha conta da steam sofre tentativa de invasão umas 3~4x
Wesley

Mas quando você faz login em qualquer site usando o aplicativo de autenticação, ele pergunta se você quer obter o código através de SMS, se você perder o autenticador, pode obter o código por mensagem de texto.

Wesley

Até onde eu sei, não é possível desativar o acesso por SMS. Se você perder o celular ou apagar o app autenticador do seu celular, o site dá opção de você receber o código por SMS, ao invés de precisar do aplicativo pra isso, ou seja, querendo ou não, a opção de logar por SMS estará sempre lá como forma de recuperação da conta.

Wesley

Só funciona para a conta Microsoft, pois ela é integrada ao autenticador. Entretanto, o LastPass Authenticator permite você logar pela notificação em qualquer site, basta você ter a extensão do LastPass instalada no seu navegador, quando você for fazer login em algum site, uma notificação vai aparecer no smartphone, então é só autorizar e a extensão preenche o código automaticamente pra você.

David

Acredito que nós meros mortais estamos por hora a salvo, ninguém vai se dar todo esse trabalho, de descobrir nosso número, entre outros dados, e arranjar uma forma mirabolante de interceptar sms, apenas pra invadir a conta de um sujeito qualquer.

Leonardo Amaral

Achei baitzão tb. Um factor a mais sempre é desejavel que somente a senha. Só de ter um 2-factor, mesmo via tosco sms, já torna até geograficamente complicado fazer as coisas.

Agora, sobre o OTP local ser mais seguro que SMS, inegável, mas o título pouco se preocupou.

Corvo

Mais uma matéria da série "Complexo de insegurança" que está na moda.
Continuo com minha autenticação em uma etapa, minha senha de décadas e sem nenhum "anti-vírus", obrigado.

Victor Viana

Eu falei recuperar senha. E mesmo assim, é um elo sabidamente frágil no 2-step.

Baidu feat MC Brinquedo

O Telegram envia o código por dentro do próprio aplicativo.

Acho isso muito legal! Fora que o app ainda avisa que alguém acessou sua conta, então você consegue monitorar em quais aplicativos sua conta está 'rodando'. Enquanto isso o querido zape zaperson nem mesmo consegue controlar quem te adiciona em grupos...

Baidu feat MC Brinquedo

Há um tempo atrás alguns YouTubers americanos tiveram canais roubados por conta da autenticação em duas etapas. Tempos depois descobriram que era muito fácil aplicar técnicas de engenharia social, já que a galera gosta de postar até quando tá c@gando, nas operadoras.

Exibir mais comentários