Mesmo com consideráveis ​​precauções de segurança em vigor, O presidente-executivo do Twitter, Jack Dorsey, foi vítima de um compromisso embaraçoso quando os invasores assumiram o controle de sua conta na plataforma sequestrando seu número de telefone.

Dorsey se tornou o mais recente alvo da chamada fraude de "troca de SIM", que permite que um fraudador engane uma operadora de celular para que transfira um número - fazendo com que as pessoas percam o controle não apenas das mídias sociais, mas contas bancárias e outras informações confidenciais.

Este tipo de ataque visa uma fraqueza na "autenticação de dois fatores" via mensagem de texto para validar o acesso a uma conta, que se tornou um método de invasão popular nos últimos anos.

O Twitter disse na sexta-feira que a conta foi restaurada após um breve período em que os invasores postaram uma série de tweets ofensivos.

Mas Ori Eisen, fundador da empresa de segurança Trusona, sediada no Arizona, especializada em autenticação sem senhas, disse que a correção rápida não deve ser vista como uma resposta ao amplo problema da fraude de troca de SIM.

"O problema não acabou, "Eisen disse, observando que esses tipos de ataques foram usados ​​para assumir o controle de outras contas de mídia social de alto perfil e para vários tipos de esquemas de fraude.

Eisen disse que não está claro quantas pessoas são atacadas dessa maneira, mas que a tecnologia automatizada pode criar bilhões de chamadas que induzem as pessoas a fornecer informações ou senhas.

Trocando telefones, ou fraude?

Alguns analistas dizem que os hackers encontraram maneiras de obter facilmente informações suficientes para fazer uma operadora de telecomunicações transferir um número para a conta de um fraudador, especialmente após hacks de grandes bancos de dados que resultam em dados pessoais vendidos na chamada "dark web".

"Mensagens de texto de contas móveis podem ser sequestradas por técnicas sofisticadas de hardware, mas também pela chamada 'engenharia social' - convencer uma operadora de celular a migrar sua conta para outra, telefone não autorizado, "disse R. David Edelman, um ex-conselheiro da Casa Branca que dirige um centro de pesquisa de segurança cibernética no Instituto de Tecnologia de Massachusetts.

"Leva apenas alguns minutos de confusão para fazer travessuras como Dorsey experimentou."

Milhares desses ataques foram relatados em países onde os pagamentos móveis são comuns, inclusive no Brasil, Moçambique, Índia e Espanha.

Pesquisadores da empresa de segurança Kaspersky dizem que os sistemas de segurança de muitas operadoras móveis "são fracos e deixam os clientes abertos a ataques de troca de SIM", especialmente se os invasores conseguirem coletar informações como datas de nascimento e outros dados.

Em uma postagem recente no blog, Os pesquisadores da Kaspersky, Fabio Assolini e Andre Tenreiro, disseram que alguns casos vêm de criminosos cibernéticos que pagam funcionários corruptos de operadoras de celular - por apenas US $ 10 a US $ 15 por vítima.

“O interesse por tais ataques é tão grande entre os cibercriminosos que alguns deles decidiram vendê-los como um serviço a outros, "escreveram os pesquisadores.

No Brasil, alguns criminosos assumiram as contas do WhatsApp das vítimas, usando-o para pedir aos amigos da pessoa "pagamento urgente, “Assolini e Tenreiro escreveram.

'Maduro' para fraude

"Este é um caminho bastante adequado para a fraude, "disse Joseph Hall, tecnólogo do Center for Democracy &Technology em Washington.

Hall disse que algumas operadoras estão usando inteligência artificial para separar as substituições legítimas de cartões SIM de fraudes, mas que isso não foi universalmente implantado.

"Eu culparia as operadoras por não terem maneiras mais robustas de autenticar usuários, " ele adicionou, ao mesmo tempo, chama o Twitter para oferecer melhores proteções.

Um tweet falso do presidente ou de outra pessoa importante pode levar a "consequências devastadoras, "como uma queda nos mercados financeiros, Hall disse.

"Esse tipo de coisa se torna difícil de neutralizar, porque mesmo após a divulgação da informação de que é uma farsa, as pessoas podem não acreditar, " ele disse.

O caso Dorsey, Hall disse, destaca a necessidade de melhores formas de autenticação, especialmente para grandes plataformas online como Facebook e Twitter, onde as mensagens podem ter um impacto.

Isso pode envolver uma chave física que se conecta a um dispositivo ou sistema baseado em software, como o Google Authenticator, Hall observou.

Eisen disse que paradoxalmente, a necessidade de senhas mais longas e complexas levou a um maior uso de mensagens de texto inseguras para autenticação.

"Os profissionais de segurança devem aceitar o fato de que o que costumava funcionar não funciona agora, " ele disse.

"Precisamos buscar soluções que não sejam tão facilmente exploradas por bandidos e sejam fáceis de serem adotadas pelas pessoas."

© 2019 AFP