0
0
Um recurso que deveria tornar sua conta mais segura – adicionando um número de telefone celular – tornou-se um vetor de ataque em incidentes de troca de SIM. Veja como isso é feito e como você pode se proteger.
Como diretor de uma empresa de investigações de risco cibernético e ex-analista cibernético do FBI, estou muito familiarizado com as ameaças de troca de SIM. Para muitas pessoas, o termo troca de SIM evoca a imagem de um hacker invadindo uma companhia telefônica ou combatentes estrangeiros trocando cartões SIM para evitar a vigilância do governo. Na realidade, os swaps de SIM são uma função legítima que acontece diariamente em empresas de telefonia em todo o mundo. No nível mais básico, uma troca de SIM é usada por um provedor de serviços telefônicos para transferir o número de celular existente de um indivíduo para um novo cartão SIM e telefone.
Infelizmente, os criminosos aprenderam a usar a troca de SIM para obter lucro. Os criminosos enganam ou subornam os funcionários da empresa telefônica para transferir o número de celular da vítima para um novo cartão SIM e um telefone controlado pelo criminoso. Mas por que um criminoso gostaria de ganhar o controle do número de celular de alguém?
Digite o conceito moderno de autenticação de telefone celular. Essa é a prática empregada pelos provedores de serviços on-line para verificar a identidade de um usuário enviando uma senha de uso único para um número de telefone celular que anteriormente estava vinculado a essa conta usando a autenticação de dois fatores (2FA). Embora essa seja uma maneira fácil de redefinir senhas esquecidas, também permite que qualquer pessoa no controle desse número de celular obtenha acesso a emails, mídias sociais e contas financeiras vinculadas a esse número. Se o guerreiro grego Aquiles é representante do 2FA em toda a sua glória, a autenticação por telefone celular via SMS é o calcanhar de Aquiles.
Hackeando três contas com um número de telefone
A idéia de hackear alguém com seu número de telefone era tão intrigante que decidi simular o hackeamento de minhas próprias contas usando apenas meu telefone celular. Comecei com minha conta do Twitter, onde selecionei “Esqueceu a senha?” e recebeu a opção “Inserir número de telefone”. Nesse ponto, não me lembrava de ter conectado minha conta do Twitter ao meu número de celular, mas imaginei que tentaria.
Recebi imediatamente uma senha única do Twitter e consegui ler o código por meio de uma notificação na tela bloqueada do meu celular. Ao inserir o código no site do Twitter, fui solicitado a inserir uma nova senha e ganhei controle total da conta. Como as notificações por SMS aparecem na tela bloqueada do meu telefone, qualquer pessoa com acesso físico ao meu telefone e ao meu número de telefone poderia ter assumido minha conta do Twitter.
A coisa mais perturbadora do meu experimento no Twitter é o conhecimento de que qualquer membro da família, amigo ou colega de trabalho que possuísse meu número de telefone poderia inseri-lo no “Esqueceu a senha?” Do Twitter. , pegue meu telefone bloqueado para visualizar a senha de uso único e obtenha controle total da minha conta. Uma troca de SIM nem era necessária.
As implicações de privacidade desse cenário são inquietantes, mas isso também destaca o potencial de um indivíduo ter conteúdo ofensivo enviado de suas contas de mídia social, ou pior, se envolver em um crime cometido por alguém que assumiu o controle de suas contas. O invasor (por exemplo, cônjuge afastado ou colega de trabalho vingativo) precisaria apenas acessar o número de telefone e o telefone bloqueado da vítima. Recebi um alerta de e-mail do Twitter informando que minha senha havia sido redefinida, mas um invasor pode obter acesso à minha conta de e-mail usando a mesma técnica e excluir quaisquer notificações.
Reforçado pelo hack da minha conta do Twitter, usei a mesma técnica na minha conta do Hotmail, datada, e obtive o mesmo resultado. As etapas do Hotmail incluíam clicar em “Esqueci a senha”, inserir meu endereço de e-mail (muito provável) e seguir uma solicitação para inserir meu número de celular. Uma senha de uso único foi enviada ao meu celular, permitindo redefinir minha senha e obter acesso a anos de correspondência por e-mail, ignorando a senha complexa que eu havia configurado para a conta. Eu estava começando a ver com que facilidade um trocador de cartões SIM ou um intrometido poderiam obter acesso a uma variedade de contas controlando um número de telefone.
Nesse ponto, eu estava no modo “pense como um invasor” e procurei na minha caixa de entrada do Hotmail por demonstrações financeiras. Encontrei um email de uma instituição financeira e cliquei em “Ver extrato”. Hackear a conta financeira exigiu um pouco mais de esforço do que apenas digitar um número de celular, mas o único obstáculo adicional foi digitar um número do Seguro Social, que geralmente pode ser comprado nos mercados da Dark Web. Nesse ponto do meu experimento, eu tinha acesso a uma conta de mídia social, uma conta de email cheia de demonstrativos financeiros e uma conta financeira da qual eu podia transferir fundos.
Lições aprendidas
O que aprendi ao invadir minhas contas com meu telefone celular? Principalmente, se minhas contas não tivessem sido vinculadas ao meu telefone celular e estivessem protegidas apenas pelas senhas complexas que eu uso, elas teriam sido mais seguras.
Muitos provedores online sugerem a adição de um número de telefone celular como forma de implementar o 2FA – ou seja, 1) algo que você conhece e 2) algo que você tem. De fato, o 2FA é usado para vincular inicialmente o número de telefone de um usuário a uma conta online; no entanto, após a confirmação inicial do número de telefone, o processo de autenticação geralmente volta à autenticação de fator único (um número de telefone) para autenticação de contas.
A falsa sensação de segurança incentivada pelo cenário de autenticação baseada em SMS deixa os usuários vulneráveis a ataques de troca de SIM e vulnerabilidades de privacidade. A menos que você tenha desativado certos recursos de notificação no seu telefone, alguém com acesso ao seu telefone bloqueado poderá obter acesso às suas mídias sociais, email e contas potencialmente financeiras com apenas um número de telefone e endereço de email disponíveis publicamente.
O resumo
Este experimento me estimulou a fazer algumas mudanças imediatas, o que eu sugiro que você considere fazer também:
- Excluirei meu número de telefone de minhas contas on-line e me autenticarei em contas com senhas complexas e opções 2FA mais robustas, como Google Authenticator, Microsoft Authenticator, Duo ou um dispositivo de autenticação de hardware USB, como o YubiKey. (Obviamente, não vou vincular meu número de celular a esses aplicativos 2FA.)
- Protegerei o conteúdo de e-mail confidencial arquivando e fazendo backup do e-mail, para que não seja acessível a um invasor se eu for invadido.
- Para me proteger contra a troca de SIM, adicionarei um PIN à minha conta de celular e planejarei solicitar que as transferências de SIM ocorram pessoalmente na minha conta.
- Para impedir ataques de autenticação de celulares de bisbilhoteiros oportunistas, desativei as notificações na tela de bloqueio do meu telefone.
Conclusão: um recurso essencial anunciado para tornar sua conta mais segura – adicionando um número de telefone celular – provou ser um vetor de ataque em um número crescente de incidentes de troca de SIM. As implicações de segurança e privacidade são sérias e o setor precisa avançar para mecanismos de autenticação mais seguros, em vez da autenticação de telefone celular baseada em SMS.
FONTE: Dark Reading