0
0
As mensagens de texto SMS já eram o elo mais fraco que protegia praticamente qualquer coisa online, principalmente porque existem dezenas de milhares de funcionários em lojas móveis que podem ser enganados ou subornados para trocar o controle sobre um número de celular para outra pessoa. Agora estamos aprendendo sobre todo um ecossistema de empresas que qualquer um poderia usar para interceptar silenciosamente mensagens de texto destinadas a outros usuários móveis.
O pesquisador de segurança “Lucky225” trabalhou com Joseph Cox, da Vice.com, para interceptar as mensagens de texto recebidas de Cox com sua permissão. Lucky225 mostrou como qualquer um poderia fazer o mesmo depois de criar uma conta em um serviço chamado Sakari, uma empresa que ajuda celebridades e empresas a fazer marketing por SMS e mensagens em massa.
O “como eles fizeram isso” foi doentiamente simples. Custou apenas US$16, e havia pouco precioso para impedir que alguém roubasse suas mensagens de texto sem o seu conhecimento. Cox escreve:
A Sakari oferece uma avaliação gratuita para qualquer pessoa que deseje ver como é o painel da empresa. O plano mais barato, que permite que os clientes adicionem um número de telefone que desejam enviar e recebam mensagens de texto, é para onde os US$16 vão. Lucky225 forneceu à Motherboard capturas de tela da interface do Sakari, que mostram um símbolo vermelho “+” onde os usuários podem adicionar um número.
Ao adicionar um número, Sakari fornece a Carta de Autorização para o usuário assinar. A LOA da Sakari diz que o usuário não deve realizar nenhum comportamento ilegal, assediador ou inadequado com o serviço de mensagens de texto e o número de telefone.
Mas, como o Lucky225 mostrou, um usuário pode simplesmente se inscrever com o número de outra pessoa e receber suas mensagens de texto.
Lucky disse à KrebsOnSecurity que a Sakari desde então tomou medidas para bloquear seu serviço por ser usado com números de telefone celular. Mas ele disse que Sakari é apenas uma parte de uma indústria muito maior e não regulamentada que pode ser usada para sequestrar mensagens SMS para muitos números de telefone.
“Não é uma coisa de Sakari,” Lucky225 respondeu quando abordado pela primeira vez para mais detalhes. “É uma coisa em toda a indústria. Existem muitos desses provedores de ‘abilitação de SMS’.”
A maneira mais comum de ladrões sequestrarem mensagens SMS atualmente envolve “troca de sim”, um crime que envolve subornar ou enganar funcionários de empresas de telefonia sem fio para modificar as informações da conta do cliente.
Em uma troca de SIM, os atacantes redirecionam o número de telefone do alvo para um dispositivo que controlam e, em seguida, podem interceptar as mensagens SMS e chamadas telefônicas recebidas do alvo. A partir daí, o invasor pode redefinir a senha de qualquer conta que use esse número de telefone para redefinir links de senha.
Mas os ataques que a Lucky225 tem demonstrado apenas exigem que clientes de qualquer número de empresas assinem uma “carta de autorização” juramentada ou LOA afirmando que eles realmente têm autoridade para agir em nome do proprietário do número alvo.
Allison Nixon é diretora de pesquisa da Unit221B, uma empresa de investigações cibernéticas com sede em Nova York. Especialista em ataques de troca de SIM que foi citado bastante neste blog, Nixon disse que também fez com que Lucky225 testasse seus truques de interceptação em seu telefone celular, apenas para ver suas mensagens SMS recebidas aparecerem em seu telefone descartável.
“Isso basicamente significa que a única coisa entre qualquer um e o equivalente a uma troca de SIM é um LOA forjado”, disse Nixon. “E a ‘correção’ colocada parece ser de natureza temporária.”
O método de interceptação descrito pela Lucky225 ainda está perigosamente exposto por uma série de fraquezas sistêmicas na rede global de SMS, disse ele.
A maioria dos provedores de telecomunicações grandes e legados valida solicitações de transferência relacionadas aos seus clientes consultando o NPAC ou o Number Portability Administration Center. Quando os clientes querem mover seus números de telefone — móveis ou não — essa solicitação é encaminhada através do NPAC para a operadora do cliente.
Essa solicitação de alteração traz o que é conhecido como ALT-SPID, que é um número de quatro dígitos que permite que a NPAC identifique a empresa de telecomunicações que atualmente presta serviço ao cliente. Mais importante, como parte desse processo, nenhuma alteração pode acontecer a menos que a operadora do cliente tenha verificado as alterações com o cliente existente.
Mas Lucky225 disse que a classe de interceptação SMS que ele tem testado tem como alvo uma série de fraquezas de autenticação ligadas a um sistema desenvolvido pela NetNumber, uma empresa privada em Lowell, Massachusetts. A NetNumber desenvolveu seu próprio sistema proprietário para mapear provedores de telecomunicações que é usado pela Sakari e por toda uma indústria de empresas similares.
A NetNumber desenvolveu seus ALT SPIDs (IDs NetNumber) de seis dígitos para organizar e rastrear melhor os provedores de serviços de comunicações que estavam todos usando outros sistemas de numeração (e diferentes números de dígitos). Mas a NetNumber também trabalha diretamente com dezenas de empresas de telefonia baseadas em voz sobre IP ou Internet que não respeitam as mesmas regras regulatórias que se aplicam a provedores de telecomunicações legados.
“Existem muitos provedores de VoIP que oferecem ‘ativação de texto’ ‘off net’,” explicou Lucky225. “Empresas como a ZipWhip que prometem permitir que você ‘Texto habilite seu número de telefone comercial existente’ para que os clientes possam enviar mensagens de texto para sua linha comercial principal, seja VoIP, gratuito ou um número de telefone fixo.”
Como Lucky225 escreveu em seu abrangente artigo Medium, há uma infinidade de provedores de VoIP por atacado que permitem que você se torne um revendedor com pouca ou nenhuma verificação, muitos deles permitem Cartas de Autorização (LOAs) gerais, onde você, como revendedor, promete que tem um LOA registrado para qualquer número que queira habilitar por texto para seus revendedores ou usuários finais.
“Em essência, depois de ter uma conta de revendedor com esses atacadistas VoIP, você pode alterar o ID do Número Líquido de qualquer número de telefone para o NNID do seu provedor de atacado e começar a receber mensagens de texto SMS praticamente sem autenticação. Não é necessário SIM Swap, ataques SS7 ou saídas de porta — basta digitar o número de telefone do alvo em uma caixa de texto e clicar em enviar e, em poucos minutos, você pode começar a receber mensagens de texto SMS para eles. Eles nem serão alertados de que algo aconteceu, pois seus serviços de voz e dados continuarão funcionando como de costume. Surpreendentemente, apesar do fato de que eu divulguei isso publicamente em 2018, nada foi feito para impedir esse ataque relativamente sofisticado.”
A NetNumber se recusou a comentar sobre o registro, mas em vez disso se referiu a uma declaração da CTIA, uma associação comercial que representa a indústria sem fio, que diz:
“Depois de sermos informados sobre essa ameaça potencial, trabalhamos imediatamente para investigá-la e tomamos medidas de precaução. Desde então, nenhuma operadora conseguiu replicá-lo. Não temos indicação de qualquer atividade maliciosa envolvendo a ameaça potencial ou que quaisquer clientes foram afetados. A privacidade e a segurança do consumidor são nossa principal prioridade, e continuaremos a investigar esse assunto.”
Lucky225 disse à KrebsOnSecurity que muitas das principais empresas móveis se mudaram para garantir que nenhum de seus clientes possa ser afetado pelas alterações solicitadas através da NetNumber ou de seus parceiros. Mas ele suspeita que algumas das empresas menores de telecomunicações com e sem fio ainda podem estar vulneráveis.
“Tenho certeza de que são apenas as grandes operadoras que estão protegendo agora,” disse ele. “Mas há tanta coisa que não sabemos sobre o que eles consertaram porque todo mundo está com lábios tão apertados sobre isso agora.”
Nixon disse que é hora dos reguladores federais intensificarem e protegerem os consumidores.
“Está claro que isso é muita sujeira suja de infraestrutura fundamental e algumas mudanças fundamentais precisarão acontecer aqui,” disse ela. “Os reguladores realmente precisam se envolver.”
O QUE VOCÊ PODE FAZER?
Dado o impacto potencialmente amplo de fraudadores abusando dessa e de outras fraquezas no vasto ecossistema móvel para subverter completamente a segurança das comunicações baseadas em SMS e da autenticação multifatorial, provavelmente é uma boa ideia repensar seu relacionamento com seu número de telefone. Agora está mais claro do que nunca o quão tolo é confiar no SMS para qualquer coisa.
Meu conselho tem sido remover números de telefone de suas contas on-line sempre que puder e evitar selecionar SMS ou telefonemas para códigos de segundo fator ou únicos. Os números de telefone nunca foram projetados para serem documentos de identidade, mas é isso que eles se tornaram efetivamente. É hora de pararmos de deixar que todos os tratem dessa maneira.
Quaisquer contas on-line que você valorize devem ser protegidas com uma senha única e forte, bem como a forma mais robusta de autenticação multifatorial disponível. Normalmente, este é um aplicativo móvel como o Authy ou o Google Authenticator que gera um código único. Alguns sites como Twitter e Facebook agora suportam opções ainda mais robustas — como chaves de segurança físicas.
Remover seu número de telefone pode ser ainda mais importante para qualquer conta de e-mail que você possa ter. Inscreva-se em qualquer serviço on-line, e quase certamente exigirá que você forneça um endereço de e-mail. Em quase todos os casos, a pessoa que está no controle desse endereço pode redefinir a senha de quaisquer serviços ou contas associadas – apenas solicitando um e-mail de redefinição de senha.
Infelizmente, muitos provedores de e-mail ainda permitem que os usuários redefinam suas senhas de conta enviando um link via texto para o número de telefone registrado para a conta. Portanto, remova o número de telefone como backup da sua conta de e-mail e garanta que um segundo fator mais robusto seja selecionado para todas as opções de recuperação de conta disponíveis.
O negócio é o seguinte: A maioria dos serviços on-line exige que os usuários forneçam um número de celular ao configurar a conta, mas não exigem que o número permaneça associado à conta depois que ela for estabelecida. Aconselho os leitores a remover seus números de telefone das contas sempre que possível e aproveitar um aplicativo móvel para gerar códigos únicos para autenticação multifatorial.
FONTE: KREBS ON SECURITY