Início » Antivírus e Segurança » Por que autenticação em duas etapas por SMS é uma péssima ideia

Por que autenticação em duas etapas por SMS é uma péssima ideia

Paulo Higa Por
TB Responde

É uma boa prática de segurança ativar a autenticação em duas etapas nas suas contas: mesmo que alguém descubra sua senha, ainda será necessário ter um código adicional para acessar suas informações.

Em boa parte dos serviços, a autenticação em duas etapas funciona por meio de um código numérico registrado em aplicativos específicos, como Google Authenticator, Authy ou 1Password. Mas muitos ainda fornecem a verificação por SMS — e pesquisadores de segurança resolveram mostrar quão fácil é interceptar as mensagens de texto da sua operadora.

A Forbes publicou um video de um grupo de hackers da Positive Technologies (nome familiar, mas nada a ver com a empresa brasileira) mostrando como foi possível acessar uma carteira de bitcoin na Coinbase por meio da técnica de interceptação de SMS. O vídeo possui apenas três minutos:

Tudo começa quando os pesquisadores tentam recuperar a senha de uma conta do Gmail; eles obtém previamente alguns dados (como nome e sobrenome) da “vítima” e então solicitam um SMS com o código de recuperação, que é interceptado por meio de uma ferramenta. Depois que o Google confirma a identidade do usuário, é possível mudar a combinação da conta.

E, como tudo o que você precisa para atacar uma pessoa é o acesso aos e-mails dela, bastou entrar na Coinbase e acessar o “Esqueci minha senha”. O serviço de carteira de criptomoedas enviou um link de troca de senha, e a alteração foi realizada. Conta comprometida com sucesso.

Isso é meio assustador, mas é tão antigo que não sabemos por que as empresas ainda insistem em mandar dados importantes por SMS. A rede SS7 (Sistema de Sinalização 7), que é utilizada para gerenciar ligações telefônicas e mensagens de texto, tem falhas conhecidas (nem todas corrigidas pelas operadoras) e pode ser a causa de um ataque a uma conta online.

Ou seja, o SMS, além de não ser a coisa mais confiável do mundo (algumas mensagens minhas simplesmente nunca chegam; parece até que ficam retidas em Curitiba), é inseguro.

Vale lembrar que, no Google, você pode remover seu número de celular da autenticação em duas etapas. Recomendo.

Mais sobre: ,
Clonagem de celular vira moda no Brasil e rouba até R$ 10 mil por vítima

Clonagem de celular vira moda no Brasil e rouba até R$ 10 mil por vítima

Investigação da Kaspersky revela que cinco mil chips no Brasil foram clonados por um grupo brasileiro de cibercriminosos
Como foram vazadas as conversas no Telegram entre Moro e Dallagnol?

Como foram vazadas as conversas no Telegram entre Moro e Dallagnol?

Site vaza mensagens trocadas pelo Telegram entre procuradores da força-tarefa da Lava Jato, Deltan Dallagnol e Sérgio Moro
Reddit foi hackeado com interceptação de SMS de login de duas etapas

Reddit foi hackeado com interceptação de SMS de login de duas etapas

Desative isso nas suas contas e troque para uma autenticação de duas etapas baseada em token
Google transforma seu celular Android em chave para autenticação de dois fatores

Google transforma seu celular Android em chave para autenticação de dois fatores

Google permite usar smartphone com Android 7.0 Nougat ou superior como chave física para verificação em duas etapas
Golpe de phishing rouba senha do Gmail e SMS de autenticação em duas etapas

Golpe de phishing rouba senha do Gmail e SMS de autenticação em duas etapas

Graças a um sofisticado esquema de phishing, invasores descobriram senha e código de autenticação em duas etapas de serviços como Gmail e Yahoo Mail