É uma boa prática de segurança ativar a autenticação em duas etapas nas suas contas: mesmo que alguém descubra sua senha, ainda será necessário ter um código adicional para acessar suas informações.

Em boa parte dos serviços, a autenticação em duas etapas funciona por meio de um código numérico registrado em aplicativos específicos, como Google Authenticator, Authy ou 1Password. Mas muitos ainda fornecem a verificação por SMS — e pesquisadores de segurança resolveram mostrar quão fácil é interceptar as mensagens de texto da sua operadora.

A Forbes publicou um video de um grupo de hackers da Positive Technologies (nome familiar, mas nada a ver com a empresa brasileira) mostrando como foi possível acessar uma carteira de bitcoin na Coinbase por meio da técnica de interceptação de SMS. O vídeo possui apenas três minutos:

Tudo começa quando os pesquisadores tentam recuperar a senha de uma conta do Gmail; eles obtém previamente alguns dados (como nome e sobrenome) da “vítima” e então solicitam um SMS com o código de recuperação, que é interceptado por meio de uma ferramenta. Depois que o Google confirma a identidade do usuário, é possível mudar a combinação da conta.

E, como tudo o que você precisa para atacar uma pessoa é o acesso aos e-mails dela, bastou entrar na Coinbase e acessar o “Esqueci minha senha”. O serviço de carteira de criptomoedas enviou um link de troca de senha, e a alteração foi realizada. Conta comprometida com sucesso.

Isso é meio assustador, mas é tão antigo que não sabemos por que as empresas ainda insistem em mandar dados importantes por SMS. A rede SS7 (Sistema de Sinalização 7), que é utilizada para gerenciar ligações telefônicas e mensagens de texto, tem falhas conhecidas (nem todas corrigidas pelas operadoras) e pode ser a causa de um ataque a uma conta online.

Ou seja, o SMS, além de não ser a coisa mais confiável do mundo (algumas mensagens minhas simplesmente nunca chegam; parece até que ficam retidas em Curitiba), é inseguro.

Vale lembrar que, no Google, você pode remover seu número de celular da autenticação em duas etapas. Recomendo.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Jailson

Usam isso para "roubar" o whatsapp e pedir dinheiro a familiares/amigos.
http://g1.globo.com/fantast...

Jailson
Usam isso para "roubar" o whatsapp e pedir dinheiro a familiares/amigos. http://g1.globo.com/fantastico/noticia/2017/02/bandidos-aplicam-golpe-whatsapp-para-tirar-dinheiro-de-vitimas.html
Jailson

É mais fácil apelar para o velho estelionato e ir na operadora, falar que perdeu o celular e pedir para recuperar o número. Golpistas que usam cheques clonados fazem isso direto.

Jailson
É mais fácil apelar para o velho estelionato e ir na operadora, falar que perdeu o celular e pedir para recuperar o número. Golpistas que usam cheques clonados fazem isso direto.
Archanous
Parece notícia patrocinada. Não é tão fácil e óbvio invadir uma operadora e interceptar a resposta de uma MSC e mudar a direção para onde está o hacker. É até mais fácil criar um aplicativo virus que seja amigável e que na realidade lê o conteúdo do autenticador e envie de tempos em tempos os valores utilizados. Além do mais que via apps, inclusive de jogos isso pode estar sendo feito agora. Acho ingênuo supor que a segurança via app é extrema sendo que não se filtra em certos apps o que ele está realmente fazendo.
Luiz Henrique
Seria uma pena se a PESTE do Instagram só aceitasse códigos por SMS
Laerte Victor
eu preciso de mais etapas de autenticação, porque todo mes a minha conta da steam sofre tentativa de invasão umas 3~4x
Wesley

Mas quando você faz login em qualquer site usando o aplicativo de autenticação, ele pergunta se você quer obter o código através de SMS, se você perder o autenticador, pode obter o código por mensagem de texto.

Wesley

Até onde eu sei, não é possível desativar o acesso por SMS. Se você perder o celular ou apagar o app autenticador do seu celular, o site dá opção de você receber o código por SMS, ao invés de precisar do aplicativo pra isso, ou seja, querendo ou não, a opção de logar por SMS estará sempre lá como forma de recuperação da conta.

Wesley

Só funciona para a conta Microsoft, pois ela é integrada ao autenticador. Entretanto, o LastPass Authenticator permite você logar pela notificação em qualquer site, basta você ter a extensão do LastPass instalada no seu navegador, quando você for fazer login em algum site, uma notificação vai aparecer no smartphone, então é só autorizar e a extensão preenche o código automaticamente pra você.

David

Acredito que nós meros mortais estamos por hora a salvo, ninguém vai se dar todo esse trabalho, de descobrir nosso número, entre outros dados, e arranjar uma forma mirabolante de interceptar sms, apenas pra invadir a conta de um sujeito qualquer.

Leonardo Amaral

Achei baitzão tb. Um factor a mais sempre é desejavel que somente a senha. Só de ter um 2-factor, mesmo via tosco sms, já torna até geograficamente complicado fazer as coisas.

Agora, sobre o OTP local ser mais seguro que SMS, inegável, mas o título pouco se preocupou.

Corvo

Mais uma matéria da série "Complexo de insegurança" que está na moda.
Continuo com minha autenticação em uma etapa, minha senha de décadas e sem nenhum "anti-vírus", obrigado.

Victor Viana

Eu falei recuperar senha. E mesmo assim, é um elo sabidamente frágil no 2-step.

Baidu feat MC Brinquedo

O Telegram envia o código por dentro do próprio aplicativo.

Acho isso muito legal! Fora que o app ainda avisa que alguém acessou sua conta, então você consegue monitorar em quais aplicativos sua conta está 'rodando'. Enquanto isso o querido zape zaperson nem mesmo consegue controlar quem te adiciona em grupos...

Exibir mais comentários