Como os hackers podem ler todos os seus textos SMS – e contornar a segurança 2FA

Agora é sabido que nomes de usuário e senhas não são suficientes para acessar serviços online com segurança. Um estudo recente destacou que mais de 80% de todas as violações relacionadas a hackers acontecem devido a credenciais comprometidas e fracas , com três bilhões de combinações de nome de usuário / senha roubadas somente em 2016.

Como tal, a implementação da autenticação de dois fatores (2FA) tornou-se uma necessidade. Geralmente, 2FA visa fornecer uma camada adicional de segurança para o sistema de nome de usuário / senha relativamente vulnerável.

Funciona também. Os números sugerem que os usuários que habilitaram o 2FA acabaram bloqueando cerca de 99,9% dos ataques automatizados .

Mas, como acontece com qualquer boa solução de segurança cibernética, os invasores podem rapidamente encontrar maneiras de contorná-la. Eles podem ignorar a 2FA por meio de códigos únicos enviados como SMS para o smartphone do usuário.

Qual é o problema do SMS?

Os principais fornecedores, como a Microsoft, pedem aos usuários que abandonem as soluções 2FA que aproveitam as chamadas de SMS e voz. Isso ocorre porque o SMS é conhecido por ter uma segurança extremamente fraca, o que o deixa aberto a uma série de ataques diferentes.

Por exemplo, a troca de SIM foi demonstrada como uma forma de contornar o 2FA. A troca de SIM envolve um invasor convencendo o provedor de serviço móvel da vítima de que ele próprio é a vítima e, em seguida, solicitando que o número de telefone da vítima seja trocado para um dispositivo de sua escolha.

Os códigos de uso único baseados em SMS também estão comprometidos por meio de ferramentas prontamente disponíveis, como Modlishka, por meio de uma técnica chamada proxy reverso . Isso facilita a comunicação entre a vítima e um serviço que está sendo falsificado.

Portanto, no caso do Modlishka, ele interceptará a comunicação entre um serviço genuíno e uma vítima e rastreará e registrará as interações das vítimas com o serviço, incluindo quaisquer credenciais de login que possam usar).

Além dessas vulnerabilidades existentes, nossa equipe encontrou vulnerabilidades adicionais no 2FA baseado em SMS. Um ataque específico explora um recurso fornecido na Google Play Store para instalar automaticamente aplicativos da web em seu dispositivo Android.

Devido aos serviços de sincronização, se um hacker conseguir comprometer suas credenciais de login do Google em seu próprio dispositivo, ele poderá instalar um aplicativo de espelhamento de mensagens diretamente em seu smartphone. Shutterstock

Se um invasor tiver acesso às suas credenciais e conseguir fazer login em sua conta do Google Play em um laptop (embora você receba um aviso), ele pode instalar qualquer aplicativo que desejar automaticamente em seu smartphone.

O ataque ao Android

Nossos experimentos revelaram que um agente malicioso pode acessar remotamente o 2FA baseado em SMS de um usuário com pouco esforço, através do uso de um aplicativo popular (nome e tipo retidos por razões de segurança) projetado para sincronizar as notificações do usuário em diferentes dispositivos.

Especificamente, os invasores podem aproveitar uma combinação comprometida de e-mail / senha conectada a uma conta do Google (como nomedeusuario@gmail.com) para instalar nefastamente um aplicativo de espelhamento de mensagens prontamente disponível no smartphone da vítima por meio do Google Play.

Este é um cenário realista, pois é comum que os usuários usem as mesmas credenciais em uma variedade de serviços. Usar um gerenciador de senhas é uma maneira eficaz de tornar a sua primeira linha de autenticação – seu nome de usuário / senha de login – mais segura.

Depois que o aplicativo é instalado, o invasor pode aplicar técnicas simples de engenharia social para convencer o usuário a habilitar as permissões necessárias para que o aplicativo funcione corretamente.

VEJA TAMBEM: Fortinet FortiWeb OS Command Injection permite controle remoto de servidores

Por exemplo, eles podem fingir estar ligando de um provedor de serviços legítimo para persuadir o usuário a habilitar as permissões. Depois disso, eles podem receber remotamente todas as comunicações enviadas para o telefone da vítima, incluindo códigos de uso único usados ​​para 2FA.

Embora várias condições devam ser atendidas para que o ataque mencionado funcione, ele ainda demonstra a natureza frágil dos métodos 2FA baseados em SMS.

Mais importante ainda, esse ataque não precisa de recursos técnicos de ponta. Ele simplesmente requer insights sobre como esses aplicativos específicos funcionam e como usá-los de forma inteligente (junto com a engenharia social) para atingir uma vítima.

A ameaça é ainda mais real quando o invasor é um indivíduo confiável (por exemplo, um membro da família) com acesso ao smartphone da vítima.

Qual é a alternativa?

Para permanecer protegido online, você deve verificar se sua linha de defesa inicial é segura. Primeiro verifique sua senha para ver se ela está comprometida. Existem vários programas de segurança que permitem que você faça isso. E certifique-se de que está usando uma senha bem elaborada.

Também recomendamos que você limite o uso de SMS como um método 2FA, se possível. Em vez disso, você pode usar códigos de uso único baseados em aplicativo, como por meio do Google Authenticator. Nesse caso, o código é gerado dentro do aplicativo Google Authenticator em seu próprio dispositivo, em vez de ser enviado a você.

No entanto, essa abordagem também pode ser comprometida por hackers que usam algum malware sofisticado . Uma alternativa melhor seria usar dispositivos de hardware dedicados, como YubiKey .

Mão segura um YubiKey USB com o texto 'Citrix' ao fundo.
O YubiKey, desenvolvido pela primeira vez em 2008, é um dispositivo de autenticação projetado para suportar senha de uso único e protocolos 2FA sem ter que depender de 2FA baseado em SMS. Shutterstock

São pequenos dispositivos USB (ou habilitados para comunicação de campo próximo) que fornecem uma maneira simplificada de habilitar 2FA em diferentes serviços.

Esses dispositivos físicos precisam ser conectados ou colocados em estreita proximidade com um dispositivo de login como parte do 2FA, reduzindo, portanto, os riscos associados a códigos únicos visíveis, como códigos enviados por SMS.

Deve ser enfatizado que uma condição subjacente a qualquer alternativa 2FA é que o próprio usuário deve ter algum nível de participação ativa e responsabilidade.

Ao mesmo tempo, mais trabalho deve ser realizado por provedores de serviços, desenvolvedores e pesquisadores para desenvolver métodos de autenticação mais acessíveis e seguros.

Essencialmente, esses métodos precisam ir além do 2FA e em direção a um ambiente de autenticação multifator, onde vários métodos de autenticação são implantados e combinados simultaneamente, conforme necessário.

Fonte: https://theconversation.com/