SEGURANÇA

Já tem hacker burlando o OTP

15/04/2021 11:51

A autenticação de dois fatores começa a demonstrar suas vulnerabilidades.

Fernando Oliveira, Head de Inovação da SEC4YOU. Foto: divulgação

Tamanho da fonte: -A+A

Antes considerado um sistema sofisticado de segurança, bem como um grande avanço no  combate a fraudes em relação ao sistema de autenticação baseado em senhas, a  autenticação de dois fatores começa a demonstrar suas vulnerabilidades, e os fraudadores e cibercriminosos já desenvolveram técnicas para burlar o sistema One-Time Password (OTP)  que enviado através de SMS. 

O que é e como funciona a tecnologia OTP SMS 

Há alguns anos surgiu a tecnologia OTP SMS, um grande avanço em relação à segurança  da informação e ao fortalecimento das políticas de controle de acesso aos bancos de dados,  contas de e-mail, plataformas de internet banking e outros ambientes sensíveis. 

Com o OTP através de SMS entrava, em funcionamento, a famosa autenticação de dois  fatores, que chegou ao mercado com o objetivo de maximizar a segurança dos usuários,  impedindo a ação de hackers e o acesso de pessoas não autorizadas ao aplicativo, ambiente  ou sistema.  

Basicamente, a autenticação OTP se encarrega de validar as tentativas de login por meio do  envio de um código único, por exemplo, através de SMS, para o detentor das permissões de  acesso adicionando mais um fator de autenticação, o famoso 2FA ou também conhecido  como multi-fator. 

Com a tecnologia, provedores de bancos de dados, serviços de e-mail, bancos e instituições  financeiras conseguem impedir acessos não autorizados facilmente, afinal, sem o código  único enviado via SMS, a tentativa de login ou até mesmo a confirmação de transações  bancárias era prontamente negada, no entanto, com o avanço das técnicas de fraudes,  efetuada pelos cibercriminosos, já não podemos considerar a autenticação de dois fatores via  OTP SMS algo realmente seguro.  

Confira, no próximo tópico, a razão pela qual as autoridades de segurança da informação  chegaram a essa conclusão.  

Como os fraudadores e cibercriminosos estão conseguindo  burlar a autenticação de dois fatores via OTP SMS? 

Fraudadores e cibercriminosos perceberam, após um tempo, que poderiam burlar o OTP  SMS utilizando uma técnica antiga e já conhecida: o SIM Swap, também conhecido como  clonagem de chips de celular. 

A clonagem de chip não é a única opção, visto que alguns cibercriminosos estão utilizando  técnicas de Engenharia Social. Assim, com posse dos dados pessoais da vítima, eles ligam  para a Central de Atendimento das operadoras de celulares e ativam o número da vítima no  chip do cibercriminoso. 

O fator de maior preocupação é a quantidade de dados pessoais de brasileiros vazados nos  últimos tempos, pois acaba sendo uma mina de ouro para os cibercriminosos que utilizam de  técnicas de phishing para obter tais dados. 

A partir deste ponto, os fraudadores passam a receber os códigos enviados por SMS para a  autenticação de dois fatores e, sem levantar suspeitas, obtêm acesso aos ambientes que  deveriam ser absolutamente restritos aos seus usuários. O que chama a atenção é a forma pela qual eles conseguem colocar o SIM swap em prática, utilizando um artifício legal. 

Não podemos esquecer que, uma vez concretizada a migração do número telefônico para o  novo chip, o aparelho da vítima perde a conexão de voz e dados com a operadora e os  fraudadores, por sua vez, passam a receber todos os SMS destinados às vítimas, inclusive  os de autenticação de dois fatores via OTP SMS. 

Com esta movimentação, serviços de pagamento ou outros, que fazem uso da autenticação  de dois fatores via OTP SMS, podem ser facilmente acessados pelos fraudadores. 

Como não ser vítima dos fraudadores que fazem uso do SIM swap para burlar o OTP SMS? 

Para não ser vítima dos criminosos, especialistas em segurança indicam justamente a não  utilização da autenticação por dois fatores via OTP SMS. Então, sempre que possível, utilize  outros meios de autenticação mais seguros - como a geração de OTP através de Push  Notification ou outros métodos como TOTP (Time-based One-Time Password), HOTP  (HMAC-based One-Time Password) -, que não tragam fricção no acesso de seus usuários,  mas que, em contrapartida, proporcionem maior segurança nos acessos e transações  realizadas.  

Todavia, somente isso não é suficiente! É importante adotar estratégias de análise  comportamental do indivíduo e a identificação do DNA do dispositivo (celular, tablet e/ou  computadores), também conhecido como "fingerprint" (impressão digital) que está sendo  utilizado através destes conjuntos de informações é possível determinar se o uso é legítimo  ou fraudulento. 

Por fim, vale destacar que cabe às operadoras de telefonia ou às que armazenam dados e  informações pessoais de clientes como bancos e instituições financeiras, pensarem em  estratégias e mecanismos mais sofisticados de segurança que impeçam a ação dos  criminosos virtuais. 

É preciso avançar e romper barreiras em meio a segurança digital, visando à proteção de  dados e informações sigilosas de clientes. Assim, evitando ataques cibernéticos e violação  de dados por parte de fraudadores e pessoas não autorizadas.

*Por Fernando Oliveira, Head de Inovação da SEC4YOU.

Veja também

CARREIRA
Cavina é head de Cibersegurança da Minsait no Brasil

Executivo é experiente na área de segurança, com passagem por IBM, PwC e Stefanini.

CONTRATAÇÃO
Andréa Thomé assume cibersegurança da Everis

Na nova empresa, a executiva terá o desafio de estruturar a área no Brasil.

PRÊMIO
Brasileiros vencem concurso global de cibersegurança

Paulo e Pedro Fabri ganharam US$ 10 mil com jogo voltado à conscientização dos usuários.

SEGURANÇA
Vazamento no LinkedIn expõe dados de 500 milhões

Hacker estaria vendendo informações como nomes, endereços de e-mail e números de telefone.

VAREJO
Guerra contra fraudes digitais exige aliança entre o CFO e o CISO

Tentativas de fraudes no e-commerce no Brasil saltaram 276% em 2020.

 
MAIS UM
Vazamento expõe 10 milhões de senhas de e-mail

Em exposição global, o número é um recorte apenas do domínio “.br”, então o estrago pode ser muito maior.

PEDIDA
Ação pode quebrar a Serasa Experian

Entidade pede indenização potencialmente bilionária, caso se consiga provar a origem do vazamento.

CRIPTOGRAFIA
Ministério da Defesa: segurança com Kryptus

Empresa vai atuar no projeto da nova Rede Operacional de Defesa do Brasil.