A autenticação em duas etapas é vista como um dos principais mecanismos de segurança para contas de e-mails, redes sociais e outras plataformas online. Uma simples invasão à caixa de mensagens do usuário, entretanto, pode colocar tudo a perder, como demonstrou o hacker Martin Vigo durante a DEF CON, uma tradicional conferência de segurança digital que aconteceu no último final de semana em Las Vegas, nos Estados Unidos.
Usando um script simples, o especialista foi capaz de usar força bruta para obter a senha do serviço de correio de voz de um número celular. Na sequência, utilizou ligações sucessivas de outros números, sob seu controle, para inundar a vítima, enquanto, ao mesmo tempo, solicitou a mudança de senha de acesso no WhatsApp, cujo método de autenticação em duas etapas foi uma ligação automatizada.
A falha nesse mecanismo de segurança está no fato de plataformas desse tipo não serem capazes de identificar se foi o próprio usuário quem atendeu a chamada ou se ela foi redirecionada para a caixa de mensagens. Como o número estava ocupado, a ligação com código para troca de senha foi gravada pelo correio de voz, que estava comprometido pelo hacker e levou à invasão da conta do mensageiro.
Vigo demonstrou a falha não apenas no WhatsApp, mas também no sistema de pagamentos PayPal. No palco da DEF CON, ele também afirmou que, virtualmente, todos os serviços online que permitam o uso de ligações como método de verificação de identidade para troca de senhas estão suscetíveis à vulnerabilidade. Ele disse, inclusive, ter contatado algumas das empresas que utilizou em seus testes, recebendo respostas “abaixo do esperado” da maioria delas.
De acordo com o especialista, não existem informações de golpes dessa categoria sendo realizados por hackers, mas sua simplicidade e rapidez de operação podem ser indicativos de que outros chegarão à mesma conclusão. Se isso não aconteceu, provavelmente a tática começará a ser utilizada agora, mesmo com Vigo afirmando que publicaria seus sistemas de obtenção de senhas por força bruta de forma adaptada, exigindo trabalho adicional dos criminosos para fazer com que o sistema funcione. Daqui em diante, então, basta alguém tão habilidoso quanto ele, mas do “outro lado da Força”, para que a exploração aconteça.
E é por isso que, ao apresentar a falha, o especialista também deu algumas indicações de segurança. Enquanto as empresas não tomam atitudes, o ideal é que os usuários desabilitem seus correios de voz, evitando que ele seja utilizado em tentativas de golpe e, também, pelas pessoas, algo que também pode ser um inconveniente.
Além disso, outra boa dica é evitar cadastrar o número de telefone em serviços nos quais o usuário não deseje utilizar a autenticação em duas etapas. A ideia é que a segurança mais frágil em tais contas possa levar à obtenção do celular, o que, na sequência, poderia ser usado no golpe citado, levando a comprometimentos de contas mais importantes e sensíveis.
Às empresas, claro, a indicação é não utilizar sistemas de envio de códigos por ligação, preferindo o uso de aplicativos ou o envio de SMS. Ou, então, o caminho mais difícil, que é criar maneiras de fazer com que o sistema de chamadas possa identificar o usuário e diferenciar o atendimento por um sistema eletrônico de correio de voz.
Nenhum comentário:
Postar um comentário