Por que você não deveria receber códigos de autenticação em duas etapas por SMS

Renato Santino13/06/2017 23h16

20161205134053

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Nos últimos anos, os bancos abandonaram o token físico que davam aos seus clientes como forma de autenticação em duas etapas em favor de códigos enviados apenas quando necessário, pela internet ou por SMS. Tantos outros serviços online também se apoiam nesses sistemas para oferecer uma camada adicional de segurança. O problema é que esse segundo método, que utiliza a rede telefônica, simplesmente não é seguro.

Existe um sistema chamado SS7 (Sistema de Sinalização 7), um protocolo usado pela maioria das operadoras de telefonia no mundo desde 1975, que oferece brechas para interceptação de chamadas, mensagens, rastreamento da localização do celular e tudo mais. A falha já foi demonstrada em um programa de TV americano.

O SS7 é usado para controlar chamadas telefônicas, tanto fixas quanto móveis, permitindo que as operadoras troquem as informações necessárias para efetuar as chamadas entre si e também para garantir que o cliente seja cobrado corretamente, além de permitir o uso de roaming internacional. São ferramentas importantes e que tornam mais fáceis as vidas das empresas e dos consumidores.

O problema é o quão fácil é hackear o SS7. As suas vulnerabilidades são amplamente conhecidas pelo cibercrime, que pode muito bem usá-las para fins maliciosos. Na prática, esse sistema permite a clonagem de um número de telefone com ampla facilidade.

Especialistas em segurança digital já mostraram como é simples controlar uma conta de WhatsApp ou Telegram usando a brecha. Com o número clonado, basta instalar o aplicativo no celular, receber a mensagem de verificação e pronto, você tem acesso às conversas da vítima, se ela não tiver configurado mais uma camada de autenticação.

No caso dos bancos, a situação é a mesma, com a diferença de que o SMS se torna a última barreira de autenticação, e não a primeira. Se o cibercrime tiver acesso às suas informações bancárias, por meio de algum ataque de phishing ou malware, e obtiver seu número de celular (e existem catálogos extensos onde isso pode ser obtido), ele pode simplesmente clonar seu número para receber o código de autenticação e realizar qualquer operação que desejar na sua conta.

Existem outros complicadores no SMS. Um ladrão pode roubar seu celular, mesmo que a tela esteja bloqueada, tirar o chip e colocar em outro dispositivo para receber os códigos de verificação. Também existe a possibilidade de alguém contatar a sua operadora se passando por você e tomar o controle do seu número telefônico, bastando apenas ter acesso aos seus documentos, que, infelizmente, vez ou outra caem na internet em ataques a grandes empresas.

Há alternativas

Primeiro de tudo, vamos deixar claro: se não houver outra opção, o SMS é melhor do que não ter nenhuma forma de autenticação em duas etapas. No entanto, existem sistemas mais seguros, o que inclui a geração de códigos no próprio celular; ou seja: se a tela do seu smartphone estiver travada com senha, não há como ter acesso aos números de verificação.

Bancos sabem disso, e já oferecem sistemas de autenticação que fornecem códigos sem depender de SMS, no próprio app. Para outros serviços online, existem aplicativos como Google Authenticator, Microsoft Authenticator e Authy, que são compatíveis com uma vasta gama de plataformas. Não dá trabalho, é seguro e funciona muito bem.

Renato Santino é editor(a) no Olhar Digital