Lembre-se: a autenticação em dois fatores por SMS é fraca
Vamos usar uma onda de crimes para ensinar uma lição.
Nove pessoas foram indiciadas nesta semana pelo Departamento de Justiça dos EUA nesta semana por roubar US$ 2,4 milhões em criptomoedas por um esquema chamado SIM swap.
O SIM swap é uma fraude elaborada, mas relativamente direta, que usa engenharia social. Nela, criminosos roubam números de telefone de seus alvos por vários meios — neste caso específico, subornando funcionários de atendimento ao cliente ou, em outros casos, se passando pelas as vítimas.
As vítimas deste esquema detinham milhões de dólares em criptomoedas em corretoras online e usavam esses números de telefone como autenticação de dois fatores. Assim, quando precisavam movimentar seu dinheiro, suas identidades eram confirmadas via mensagem de texto (SMS). Uma vez que os supostos hackers sequestraram esses números, eles foram capazes de usá-los para invadir as contas e pegar o dinheiro.
O que torna a criptomoeda um alvo tão tentador é que, uma vez roubada, não há como recuperá-la. Nenhum banco para ligar, nenhuma autoridade centralizada para apelar. É parte do que as torna tão atrativas, seja para clientes que querem ficar longe de autoridades, seja para golpistas que querem roubá-las.
A autenticação de dois fatores é uma das etapas mais fáceis e importantes que você pode adotar para proteger sua vida online. Infelizmente, há um pequeno problema.
Esta é a lição: a autenticação de dois fatores que usa de números de telefone e mensagens de texto é fraca e, se você usá-la para proteger algo como, sei lá, milhões de dólares em criptomoeda, você se tornará um alvo fácil.
Essa não é uma informação nova, mas é importante. É claro que, apesar de anos de pesquisa, muitas pessoas ainda confiam nessa fraca autenticação para proteger suas contas online. Na área da segurança cibernética, pode levar anos para mudar para um novo paradigma.
Os números de telefone nunca são a única ferramenta necessária para entrar nas contas. No entanto, para serem usados na autenticação em dois fatores, eles deveriam ser a prova de falhas, o que tornaria sua conta exponencialmente mais segura. Em última análise, os números de telefone são autenticadores fracos, e você deveria usar outra opção para proteger qualquer conta mais importante.
Não é culpa das vítimas, não é isso que estamos tentando dizer. Obviamente, os bandidos são os maiores culpados. Entretanto, os próprios sites deveriam oferecer ferramentas de segurança melhores. Para contas importantes, usar mensagens de texto como autenticação em dois fatores nem deveria constar entre as opções.
Este caso é mais complicado que isso — o grupo se reuniu em um dos centros mais infantis e esquisitos de cibercrime na internet e escolheu seus alvos pelo Twitter — mas vamos deixar isso de lado e nos concentrar na lição que podemos tirar isso.
Veja as informações básicas: o consenso de segurança cibernética é que todas as suas contas precisam de autenticação em dois fatores. O que isso significa?
Isso significa que são necessários dois fatores para obter acesso, porque é incrivelmente fácil que sua senha seja roubada.
O primeiro fator é sua senha, e geralmente ela não é segura o suficiente.
O segundo fator pode ser o seu número de telefone para que o serviço possa enviar um código por mensagem de texto (SMS) e lhe dar acesso. Mas também pode ser um aplicativo como o Google Authenticator, que fornecerá um código, ou uma chave de hardware, como o Yubikey, que você usa como a chave de verdade, igual a da porta da sua casa.
A melhor forma comum de autenticação em dois fatores é uma chave física. Esse é o tipo de autenticação que o Google dá a campanhas políticas, dissidentes e jornalistas, entre outros — o tipo de pessoa cuja vida depende de sua segurança cibernética.
É muito fácil configurar uma chave física, mas, talvez, sua segurança cibernética não seja uma questão de vida ou morte. Um aplicativo autenticador é uma opção forte e simples. O Google Authenticator é uma ótima maneira de obter o segundo fator de maneira segura.
No fim da lista, estão as mensagens de texto.
Já se passaram quase quatro anos desde que o governo dos EUA alertou suas agências para deixarem de lado a autenticação por SMS. Ela é impossível de verificar e é fácil de interceptar. Mesmo assim, ainda é bastante usada — incluindo aí algumas corretoras de criptomoedas.
“Embora o SMS como autenticação em dois fatores tenha um nível de proteção muito maior do que uma senha sozinha, ele não possui a mesma força dos mecanismos de autenticação em dispositivo”, explicou Paul Grassi, consultor sênior de tecnologia e padrões do NIST, em 2016. “Não é apenas a vulnerabilidade de alguém roubar seu telefone. O SMS enviado pode ser lido por um agente mal-intencionado sem que ele precise colocar as mãos no aparelho.”
Vamos terminar a lição com um simples comentário: use sempre a autenticação em dois fatores. Se for algo importante — seu dinheiro, suas contas de mídia social, seu e-mail — baixe um aplicativo autenticador ou use uma chave física.
A outra alternativa é esperar ser roubado e chamar a polícia para recuperar seu dinheiro. Pode funcionar também.