CertiK diz que SMS é a forma 'mais vulnerável' de 2FA em uso

Usar o SMS como uma forma de autenticação de dois fatores sempre foi popular entre os entusiastas de criptografia. Afinal, muitos usuários já estão negociando suas criptomoedas ou gerenciando páginas sociais em seus telefones, então por que não simplesmente usar SMS para verificar ao acessar conteúdo financeiro sensível?

Infelizmente, os vigaristas recentemente descobriram a exploração da riqueza escondida sob essa camada de segurança por meio de troca de SIM, ou o processo de redirecionamento do cartão SIM de uma pessoa para um telefone que está na posse de um hacker. Em muitas jurisdições em todo o mundo, os funcionários de telecomunicações não solicitarão identidade do governo, identificação facial ou números de previdência social para lidar com uma simples solicitação de portabilidade.

Combinado com uma busca rápida por informações pessoais disponíveis publicamente (bastante comum para as partes interessadas da Web 3.0) e perguntas de recuperação fáceis de adivinhar, os imitadores podem portar rapidamente o SMS 2FA de uma conta para seus telefones e começar a usá-lo para fins nefastos. No início deste ano, muitos Youtubers criptográficos foram vítimas de um ataque de troca de SIM onde hackers postaram vídeos de golpes em seu canal com um texto orientando os espectadores a enviar dinheiro para a carteira do hacker. Em junho, o projeto Solana NFT Duppies teve sua conta oficial do Twitter violada por meio de um SIM-Swap, com hackers tweetando links para uma falsa casa da moeda furtiva.

Com relação a este assunto, o Cointelegraph conversou com o especialista em segurança da CertiK, Jesse Leclere. Conhecida como líder no espaço de segurança blockchain, a CertiK ajudou mais de 3,600 projetos a proteger US$ 360 bilhões em ativos digitais e detectou mais de 66,000 vulnerabilidades desde 2018. Aqui está o que Leclere tinha a dizer:

“SMS 2FA é melhor do que nada, mas é a forma mais vulnerável de 2FA atualmente em uso. Seu apelo vem da facilidade de uso: a maioria das pessoas está ao telefone ou o tem à mão quando fazem login em plataformas online. Mas a sua vulnerabilidade às trocas de cartões SIM não pode ser subestimada.”

Leclerc explicou que aplicativos autenticadores dedicados, como Google Authenticator, Authy ou Duo, oferecem quase toda a conveniência do SMS 2FA, ao mesmo tempo que eliminam o risco de troca de SIM. Quando questionado se os cartões virtuais ou eSIM podem evitar o risco de ataques de phishing relacionados à troca de SIM, para Leclerc, a resposta é claramente não:

“É preciso ter em mente que os ataques de troca de SIM dependem de fraude de identidade e engenharia social. Se um mau ator pode enganar um funcionário de uma empresa de telecomunicações para pensar que ele é o proprietário legítimo de um número anexado a um SIM físico, ele também pode fazê-lo para um eSIM.

Embora seja possível impedir tais ataques bloqueando o cartão SIM do telefone (as empresas de telecomunicações também podem desbloquear telefones), Leclere aponta, no entanto, para o padrão ouro da utilização de chaves de segurança físicas. “Essas chaves são conectadas à porta USB do seu computador e algumas são habilitadas para comunicação de campo próximo (NFC) para facilitar o uso com dispositivos móveis”, explica Leclere. “Um invasor precisaria não apenas saber sua senha, mas também tomar posse física dessa chave para entrar em sua conta.”

Leclere ressalta que depois de obrigar o uso de chaves de segurança aos funcionários em 2017, o Google não sofreu nenhum ataque de phishing bem-sucedido. “No entanto, eles são tão eficazes que, se você perder a chave vinculada à sua conta, provavelmente não conseguirá recuperar o acesso a ela. Manter várias chaves em locais seguros é importante”, acrescentou.

Por fim, Leclere afirma que além de usar um aplicativo autenticador ou uma chave de segurança, um bom gerenciador de senhas facilita a criação de senhas fortes sem reutilizá-las em vários sites. “Uma senha forte e exclusiva combinada com 2FA não SMS é a melhor forma de segurança de conta”, afirmou.