Princípios importantes
- Hackers podem roubar códigos de autenticação multifator (MFA) baseados em telefone, dizem os especialistas.
- As companhias telefônicas foram enganadas para transferir números de telefone para permitir que criminosos obtenham os códigos.
- Uma maneira simples e de baixo custo de aumentar a segurança é usar o aplicativo autenticador em seu telefone.
Para se proteger de hackers, pare de usar códigos de autenticação multifator (MFA) por telefone enviados por SMS e chamadas de voz, escreve um especialista em segurança em uma nova análise.
Os códigos de telefone são vulneráveis à interceptação por hackers, escreveu Alex Weinert, diretor de segurança de identidade da Microsoft, em um post recente no blog. Códigos baseados em texto são melhores do que nada, dizem os observadores. Mas os usuários devem substituir a autenticação por telefone por aplicativos e chaves de segurança.
"Esses mecanismos são baseados em redes telefônicas comutadas publicamente (PSTN), e acredito que sejam os menos seguros dos métodos de MFA disponíveis hoje", escreveu ele.
"Essa lacuna só aumentará à medida que a adoção da MFA aumentar o interesse dos invasores em quebrar esses métodos e os autenticadores específicos estenderem suas vantagens de segurança e usabilidade. Planeje sua mudança para autenticação forte sem senha agora - o aplicativo autenticador fornece uma solução imediata e opção em evolução."
MFA é um método de segurança no qual um usuário de computador recebe acesso a um site ou aplicativo somente após apresentar com sucesso duas ou mais evidências a um mecanismo de autenticação. Esses códigos geralmente são enviados por telefone.
Hackers fingem ser você
Existem maneiras de os hackers obterem acesso a códigos telefônicos, no entanto, dizem os observadores. Em alguns casos, as companhias telefônicas foram induzidas a transferir números de telefone para permitir que hackers obtenham os códigos.
"Os telefones são tão inseguros que os usuários geralmente recebem chamadas fraudulentas de países do terceiro mundo enquanto mostram números de telefone regionais americanos", disse Matthew Rogers, CISO do provedor de nuvem Syntax, em uma entrevista por e-mail. "Os telefones também estão sujeitos a ataques de troca de SIM, que podem facilmente ignorar a MFA via mensagem de texto."
Recentemente, o popular apresentador de rádio da BBC Jeremy Vine foi vítima de um ataque que levou à invasão de sua conta do WhatsApp.
"O ataque que enganou com sucesso o Vine começa com o recebimento de uma mensagem SMS aparentemente não solicitada que contém o código de autenticação de dois fatores para sua conta", disse Ray Walsh, especialista em privacidade de dados do site de análise de privacidade ProPrivacy, em uma entrevista por e-mail.
"Após isso, a vítima recebe uma mensagem direta de um contato alegando ter enviado um código acidentalmente. Por fim, a vítima é solicitada a encaminhar o código ao hacker, o que lhe dá acesso instantâneo à conta da vítima."
Software também pode ser um problema. "Devido às vulnerabilidades do dispositivo, o MFA pode ser interceptado por um aplicativo com vazamento ou um dispositivo comprometido que o usuário não conhece", disse George Freeman, consultor de soluções do grupo governamental LexisNexis Risk Solutions, em uma entrevista por e-mail.
Não desista do seu telefone ainda
No entanto, a MFA baseada em texto é melhor do que nada, dizem os especialistas. "A MFA é uma das ferramentas mais poderosas que um usuário tem para proteger suas contas", disse Mark Nunnikhoven, vice-presidente de pesquisa em nuvem da empresa de segurança cibernética Trend Micro, em uma entrevista por e-mail.
"Ele deve ser ativado sempre que possível. Se você tiver a opção, use um aplicativo de autenticação em seu smartphone, mas no final, apenas certifique-se de que o MFA esteja ativado de qualquer forma."
Uma maneira simples e de baixo custo de aumentar a segurança é usar o aplicativo autenticador em seu telefone, disse Peter Robert, cofundador e CEO da empresa de TI Expert Computer Solutions, em uma entrevista por e-mail.
“Se você tiver o orçamento e considerar a segurança crítica, recomendo que você avalie as chaves MFA baseadas em hardware", acrescentou. "Para empresas e indivíduos preocupados com segurança, eu também recomendaria uma dark web serviço de monitoramento para que você saiba se informações pessoais sobre você estão disponíveis e à venda na dark web."
Para uma abordagem mais no estilo Missão Impossível, o novo padrão FIDO2 com Webauthn usa autenticação biométrica, diz Freeman. "O usuário se conecta a um site financeiro, insere um nome de usuário, o site entra em contato com o dispositivo móvel do usuário, um aplicativo seguro no telefone solicita ao usuário a identificação facial ou impressão digital. Quando bem-sucedido, ele autentica a sessão na web", disse ele.
Com tantas ameaças possíveis, talvez seja hora de começar a procurar maneiras mais seguras de fazer login em sites que armazenam informações pessoais. Hackers podem estar à espreita na web apenas esperando para interceptar sua senha.
