Principais vantagens
- Os hackers podem roubar códigos de autenticação multifatorial (MFA) baseados em telefone, dizem os especialistas.
- As companhias telefônicas foram enganadas para transferir números de telefone para permitir que criminosos obtenham os códigos.
- Uma maneira simples e econômica de aumentar a segurança é usar o aplicativo autenticador em seu telefone.
Fotógrafo, Basak Gurbuz Derman / Getty Images
Para ficar protegido contra hackers, pare de usar os códigos de autenticação multifatorial (MFA) baseados em telefone enviados por SMS e chamadas de voz, escreveu um especialista em segurança em uma nova análise. Os códigos de telefone são vulneráveis à interceptação por hackers, escreveu Alex Weinert, diretor de segurança de identidade da Microsoft, em uma postagem recente de blog. Códigos baseados em texto são melhores do que nada, dizem os observadores.
Mas os usuários devem substituir a autenticação baseada em telefone por aplicativos e chaves de segurança. “Esses mecanismos são baseados em redes telefônicas comutadas publicamente (PSTN) e acredito que sejam os menos seguros dos métodos de MFA disponíveis hoje”, escreveu ele. “Essa lacuna só vai aumentar à medida que a adoção de MFA aumenta o interesse dos invasores em quebrar esses métodos e os autenticadores desenvolvidos para fins específicos estendem suas vantagens de segurança e usabilidade.
Planeje sua mudança para autenticação forte sem senha agora – o aplicativo autenticador oferece uma opção imediata e evolutiva. MFA é um método de segurança no qual um usuário de computador tem acesso a um site ou aplicativo somente após apresentar com sucesso duas ou mais evidências a um mecanismo de autenticação. Esses códigos costumam ser enviados por telefone.
Hackers fingem ser você
Existem maneiras de os hackers obterem acesso aos códigos telefônicos, no entanto, dizem os observadores. Em alguns casos, as companhias telefônicas foram enganadas para transferir números de telefone para permitir que os hackers obtivessem os códigos. “Os telefones são tão inseguros que os usuários muitas vezes recebem ligações fraudulentas de países do terceiro mundo enquanto mostram os números de telefone regionais americanos”, disse Matthew Rogers, CISO do provedor de nuvem Syntax, em uma entrevista por e-mail.
“Os telefones também estão sujeitos a ataques de troca de SIM, que podem facilmente contornar o MFA via mensagem de texto.” Recentemente, o popular locutor de rádio da BBC, Jeremy Vine, foi vítima de um ataque que fez com que sua conta do WhatsApp fosse invadida.
“O ataque que enganou o Vine começa com o recebimento de uma mensagem SMS aparentemente não solicitada que contém o código de autenticação de dois fatores em sua conta”, disse Ray Walsh, especialista em privacidade de dados do site de análise de privacidade ProPrivacy, em entrevista por e-mail.
“Em seguida, a vítima recebe uma mensagem direta de um contato que afirma ter enviado um código por acidente. Finalmente, a vítima é solicitada a encaminhar o código ao hacker, que dá acesso instantâneo à conta da vítima.” O software também pode ser um problema. “Devido às vulnerabilidades do dispositivo, o MFA pode ser interceptado por um aplicativo com vazamento ou um dispositivo comprometido do qual o usuário não tem conhecimento”, disse George Freeman, consultor de soluções do grupo governamental LexisNexis Risk Solutions, em uma entrevista por e-mail.
Não desista do seu telefone ainda
No entanto, o MFA baseado em texto é melhor do que nada, dizem os especialistas. “MFA é uma das ferramentas mais poderosas que um usuário possui para proteger suas contas”, disse Mark Nunnikhoven, vice-presidente de pesquisa em nuvem da empresa de segurança cibernética Trend Micro, em uma entrevista por e-mail.
“Deve ser habilitado sempre que possível. Se você tiver escolha, use um aplicativo de autenticação em seu smartphone – mas, no final, apenas certifique-se de que o MFA esteja habilitado de qualquer forma.” Uma maneira simples e de baixo custo de aumentar a segurança é usar o aplicativo autenticador em seu telefone, disse Peter Robert, cofundador e CEO da empresa de TI Expert Computer Solutions, em uma entrevista por e-mail. “Se você tem o orçamento e considera a segurança crítica, recomendo que avalie as chaves MFA baseadas em hardware”, acrescentou ele.
“Para empresas e indivíduos preocupados com a segurança, eu também recomendaria um serviço de monitoramento da dark web para permitir que você saber se informações pessoais sobre você estão disponíveis e à venda na dark web. ”
honestmike / Getty Images
Por mais Missão ImpossívelCom uma abordagem de estilo, o novo padrão FIDO2 com Webauthn usa autenticação biométrica, diz Freeman. “O usuário se conecta a um site financeiro, digita um nome de usuário, os contatos do site [the] dispositivo móvel do usuário, um aplicativo seguro no [the] telefone, em seguida, solicita ao usuário [their] identificação facial ou impressão digital. Quando bem-sucedido, ele autentica a sessão da web “, disse ele.
Com tantas ameaças possíveis, pode ser hora de começar a procurar maneiras mais seguras de fazer logon em sites que armazenam informações pessoais. Os hackers podem estar à espreita na web, apenas esperando para interceptar sua senha.
