Agora é sabido que nomes de usuário e senhas não são suficientes para acessar serviços online com segurança. Um estudo recente destacou que mais de 80% de todas as violações relacionadas a hackers ocorrem devido a credenciais comprometidas e fracas, com três bilhões de combinações de nome de usuário/senha roubadas somente em 2016.
Como tal, a implementação da autenticação de dois fatores (2FA) tornou-se uma necessidade. Geralmente, o 2FA visa fornecer uma camada adicional de segurança ao sistema de nome de usuário/senha relativamente vulnerável.

Funciona também. Os números sugerem que os usuários que habilitaram o 2FA acabaram bloqueando cerca de 99,9% dos ataques automatizados.

Mas, como em qualquer boa solução de segurança cibernética, os invasores podem rapidamente encontrar maneiras de contorná-la. Eles podem ignorar o 2FA por meio de códigos únicos enviados como SMS para o smartphone de um usuário.

No entanto, muitos serviços on-line críticos na Austrália ainda usam códigos únicos baseados em SMS, incluindo myGov e os 4 grandes bancos:ANZ, Commonwealth Bank, NAB e Westpac.

Qual ​​é o problema com o SMS?

Os principais fornecedores, como a Microsoft, pediram aos usuários que abandonem as soluções 2FA que aproveitam o SMS e as chamadas de voz. Isso ocorre porque o SMS é conhecido por ter uma segurança infame, deixando-o aberto a uma série de ataques diferentes.

Por exemplo, a troca de SIM foi demonstrada como uma maneira de contornar o 2FA. A troca de SIM envolve um invasor convencendo o provedor de serviços móveis da vítima de que ela própria é a vítima e, em seguida, solicitando que o número de telefone da vítima seja alterado para um dispositivo de sua escolha.

Os códigos únicos baseados em SMS também são comprometidos por meio de ferramentas prontamente disponíveis, como Modlishka, aproveitando uma técnica chamada proxy reverso. Isso facilita a comunicação entre a vítima e um serviço que está sendo personificado.

Portanto, no caso do Modlishka, ele interceptará a comunicação entre um serviço genuíno e uma vítima e rastreará e registrará as interações das vítimas com o serviço, incluindo quaisquer credenciais de login que possam usar).

Além dessas vulnerabilidades existentes, nossa equipe encontrou vulnerabilidades adicionais no 2FA baseado em SMS. Um ataque específico explora um recurso fornecido na Google Play Store para instalar automaticamente aplicativos da Web em seu dispositivo Android.

Se um invasor tiver acesso às suas credenciais e conseguir fazer login na sua conta do Google Play em um laptop (embora você receba uma solicitação), ele poderá instalar qualquer aplicativo que desejar automaticamente em seu smartphone.

O ataque ao Android

Nossos experimentos revelaram que um agente malicioso pode acessar remotamente o 2FA baseado em SMS de um usuário com pouco esforço, por meio do uso de um aplicativo popular (nome e tipo retidos por motivos de segurança) projetado para sincronizar as notificações do usuário em diferentes dispositivos.

Especificamente, os invasores podem aproveitar uma combinação de e-mail/senha comprometida conectada a uma conta do Google (como nome de usuá[email protected]) para instalar um aplicativo de espelhamento de mensagens prontamente disponível no smartphone da vítima por meio do Google Play.

Esse é um cenário realista, pois é comum que os usuários usem as mesmas credenciais em vários serviços. Usar um gerenciador de senhas é uma maneira eficaz de tornar sua primeira linha de autenticação — seu login de nome de usuário/senha — mais segura.

Depois que o aplicativo é instalado, o invasor pode aplicar técnicas simples de engenharia social para convencer o usuário a habilitar as permissões necessárias para que o aplicativo funcione corretamente.

Por exemplo, eles podem fingir estar ligando de um provedor de serviços legítimo para persuadir o usuário a habilitar as permissões. Depois disso, eles podem receber remotamente todas as comunicações enviadas para o telefone da vítima, incluindo códigos de uso único usados ​​para 2FA.

Embora várias condições devam ser atendidas para que o ataque mencionado funcione, ele ainda demonstra a natureza frágil dos métodos 2FA baseados em SMS.

Mais importante, esse ataque não precisa de recursos técnicos de ponta. Simplesmente requer uma visão de como esses aplicativos específicos funcionam e como usá-los de forma inteligente (junto com a engenharia social) para atingir uma vítima.

A ameaça é ainda mais real quando o invasor é um indivíduo confiável (por exemplo, um membro da família) com acesso ao smartphone da vítima.

Qual ​​é a alternativa?

Para permanecer protegido online, você deve verificar se sua linha de defesa inicial é segura. Primeiro verifique sua senha para ver se ela está comprometida. Existem vários programas de segurança que permitem que você faça isso. E certifique-se de estar usando uma senha bem elaborada.

Também recomendamos que você limite o uso de SMS como um método 2FA, se puder. Em vez disso, você pode usar códigos únicos baseados em aplicativos, como por meio do Google Authenticator. Nesse caso, o código é gerado no aplicativo Google Authenticator no próprio dispositivo, em vez de ser enviado a você.

No entanto, essa abordagem também pode ser comprometida por hackers usando alguns malwares sofisticados. Uma alternativa melhor seria usar dispositivos de hardware dedicados, como YubiKey.

Esses são pequenos dispositivos USB (ou habilitados para comunicação de campo próximo) que fornecem uma maneira simplificada de habilitar 2FA em diferentes serviços.

Esses dispositivos físicos precisam ser conectados ou aproximados de um dispositivo de login como parte do 2FA, reduzindo assim os riscos associados a códigos únicos visíveis, como códigos enviados por SMS.

Deve-se enfatizar que uma condição subjacente a qualquer alternativa 2FA é que o próprio usuário deve ter algum nível de participação e responsabilidade ativa.

Ao mesmo tempo, mais trabalho deve ser realizado por provedores de serviços, desenvolvedores e pesquisadores para desenvolver métodos de autenticação mais acessíveis e seguros.

Essencialmente, esses métodos precisam ir além do 2FA e em direção a um ambiente de autenticação multifator, onde vários métodos de autenticação são implantados e combinados simultaneamente conforme necessário.