Como os hackers podem ler todos os seus textos SMS – e contornar a segurança 2FA

Como tal, a implementação da autenticação de dois fatores (2FA) tornou-se uma necessidade. Geralmente, 2FA visa fornecer uma camada adicional de segurança para o sistema de nome de usuário / senha relativamente vulnerável.

Funciona também. Os números sugerem que os usuários que habilitaram o 2FA acabaram bloqueando cerca de 99,9% dos ataques automatizados .

Mas, como acontece com qualquer boa solução de segurança cibernética, os invasores podem rapidamente encontrar maneiras de contorná-la. Eles podem ignorar a 2FA por meio de códigos únicos enviados como SMS para o smartphone do usuário.

Qual é o problema do SMS?

Os principais fornecedores, como a Microsoft, pedem aos usuários que abandonem as soluções 2FA que aproveitam as chamadas de SMS e voz. Isso ocorre porque o SMS é conhecido por ter uma segurança extremamente fraca, o que o deixa aberto a uma série de ataques diferentes.

Por exemplo, a troca de SIM foi demonstrada como uma forma de contornar o 2FA. A troca de SIM envolve um invasor convencendo o provedor de serviço móvel da vítima de que ele próprio é a vítima e, em seguida, solicitando que o número de telefone da vítima seja trocado para um dispositivo de sua escolha.

Os códigos de uso único baseados em SMS também estão comprometidos por meio de ferramentas prontamente disponíveis, como Modlishka, por meio de uma técnica chamada proxy reverso . Isso facilita a comunicação entre a vítima e um serviço que está sendo falsificado.

Portanto, no caso do Modlishka, ele interceptará a comunicação entre um serviço genuíno e uma vítima e rastreará e registrará as interações das vítimas com o serviço, incluindo quaisquer credenciais de login que possam usar).

Além dessas vulnerabilidades existentes, nossa equipe encontrou vulnerabilidades adicionais no 2FA baseado em SMS. Um ataque específico explora um recurso fornecido na Google Play Store para instalar automaticamente aplicativos da web em seu dispositivo Android.

Se um invasor tiver acesso às suas credenciais e conseguir fazer login em sua conta do Google Play em um laptop (embora você receba um aviso), ele pode instalar qualquer aplicativo que desejar automaticamente em seu smartphone.

O ataque ao Android

Nossos experimentos revelaram que um agente malicioso pode acessar remotamente o 2FA baseado em SMS de um usuário com pouco esforço, através do uso de um aplicativo popular (nome e tipo retidos por razões de segurança) projetado para sincronizar as notificações do usuário em diferentes dispositivos.

Especificamente, os invasores podem aproveitar uma combinação comprometida de e-mail / senha conectada a uma conta do Google (como [email protected]) para instalar nefastamente um aplicativo de espelhamento de mensagens prontamente disponível no smartphone da vítima por meio do Google Play.

Este é um cenário realista, pois é comum que os usuários usem as mesmas credenciais em uma variedade de serviços. Usar um gerenciador de senhas é uma maneira eficaz de tornar a sua primeira linha de autenticação – seu nome de usuário / senha de login – mais segura.

Depois que o aplicativo é instalado, o invasor pode aplicar técnicas simples de engenharia social para convencer o usuário a habilitar as permissões necessárias para que o aplicativo funcione corretamente.

VEJA TAMBEM: Fortinet FortiWeb OS Command Injection permite controle remoto de servidores

Por exemplo, eles podem fingir estar ligando de um provedor de serviços legítimo para persuadir o usuário a habilitar as permissões. Depois disso, eles podem receber remotamente todas as comunicações enviadas para o telefone da vítima, incluindo códigos de uso único usados ​​para 2FA.

Embora várias condições devam ser atendidas para que o ataque mencionado funcione, ele ainda demonstra a natureza frágil dos métodos 2FA baseados em SMS.

Mais importante ainda, esse ataque não precisa de recursos técnicos de ponta. Ele simplesmente requer insights sobre como esses aplicativos específicos funcionam e como usá-los de forma inteligente (junto com a engenharia social) para atingir uma vítima.

A ameaça é ainda mais real quando o invasor é um indivíduo confiável (por exemplo, um membro da família) com acesso ao smartphone da vítima.

Qual é a alternativa?

Para permanecer protegido online, você deve verificar se sua linha de defesa inicial é segura. Primeiro verifique sua senha para ver se ela está comprometida. Existem vários programas de segurança que permitem que você faça isso. E certifique-se de que está usando uma senha bem elaborada.

Também recomendamos que você limite o uso de SMS como um método 2FA, se possível. Em vez disso, você pode usar códigos de uso único baseados em aplicativo, como por meio do Google Authenticator. Nesse caso, o código é gerado dentro do aplicativo Google Authenticator em seu próprio dispositivo, em vez de ser enviado a você.

No entanto, essa abordagem também pode ser comprometida por hackers que usam algum malware sofisticado . Uma alternativa melhor seria usar dispositivos de hardware dedicados, como YubiKey .

São pequenos dispositivos USB (ou habilitados para comunicação de campo próximo) que fornecem uma maneira simplificada de habilitar 2FA em diferentes serviços.

Esses dispositivos físicos precisam ser conectados ou colocados em estreita proximidade com um dispositivo de login como parte do 2FA, reduzindo, portanto, os riscos associados a códigos únicos visíveis, como códigos enviados por SMS.

Deve ser enfatizado que uma condição subjacente a qualquer alternativa 2FA é que o próprio usuário deve ter algum nível de participação ativa e responsabilidade.

Ao mesmo tempo, mais trabalho deve ser realizado por provedores de serviços, desenvolvedores e pesquisadores para desenvolver métodos de autenticação mais acessíveis e seguros.

Essencialmente, esses métodos precisam ir além do 2FA e em direção a um ambiente de autenticação multifator, onde vários métodos de autenticação são implantados e combinados simultaneamente, conforme necessário.

Fonte: https://theconversation.com/