Entenda os riscos de usar SMS para autenticação dupla
É possível que você não saiba, mas o sistema de login em computadores através do uso de senhas não foi projetado para a finalidade que usamos nos dias de hoje. A invenção desse mecanismo de proteção remonta o início da computação pessoal, quando computadores ainda eram restritos às empresas, universidades e centros de pesquisa. Em geral, existiam apenas uma ou duas máquinas para uma equipe inteira trabalhar. Então, com o objetivo de “separar” o trabalho de cada um de seus amigos, o engenheiro Fernando Corbató, falecido em 2019, inventou a metodologia de senhas.
Ao longo dos anos, as tecnologias de proteção de identidade foram evoluindo e, hoje, contamos, por exemplo, com o mecanismo de autenticação em dois fatores, um recurso essencial de proteção às contas online atualmente.
Quando essa funcionalidade está habilitada, para que você consiga acessar uma conta, além de informar a sua senha, é preciso que você confirme uma segunda vez que o login é realmente legítimo. Em geral, o sistema pede que você informe um código adicional, comumente enviado para o seu celular.
A forma mais popular de receber esses códigos de dupla autenticação é através de mensagens de texto, ou seja, os famosos SMS. O que muitos não sabem é que, embora essa segunda confirmação via SMS seja melhor do que nada, ela não é completamente segura. Não é difícil que atores maliciosos consigam interceptar seus SMS e, assim, roubar esses códigos.
Um padrão cheio de falhas
Esse perigo existe por um motivo bastante simples: as mensagens de texto não foram projetadas para serem seguras, mas, sim, para trocar recados rápidos. Ninguém, anos atrás, imaginaria que esse padrão seria usado para disparar uma informação tão crítica e sigilosa. Por conta disso, existem algumas falhas que podem ser aproveitadas por atores maliciosos e que já foram demonstradas publicamente diversas vezes por especialistas em segurança cibernética, ao vivo, em eventos específicos do setor.
Temos, por exemplo, os ataques SS7. Eles levam esse nome por justamente usufruírem de falhas presentes no protocolo de telecomunicações SS7. Usando alguns hardwares simples e um pouco de conhecimento técnico, o atacante é capaz de interceptar a comunicação de sua operadora de telefonia móvel e ler todos os SMS que o seu celular recebe. É um ataque que exige certo investimento e paciência por parte do criminoso, mas que ainda assim é empregado especialmente em vítimas de alto escalão.
Ainda mais simples são os famosos ataques de SIM Swap. Neles, o golpista entra em contato com a sua operadora de telefonia se passando por você (geralmente com dados roubados de um vazamento qualquer) e usa a engenharia social para convencer o atendente a transferir sua linha telefônica para outro cartão SIM. Quando você perceber, o atacante já estará recebendo todas as suas mensagens de texto e será tarde demais para impedir que ele invada a sua conta.
Usando aplicativos TOTP
Hoje em dia, a forma mais segura de receber códigos de dupla autenticação é usando aplicativos autenticadores. Como o nome sugere, eles são apps que se comunicam com os servidores do serviço que você está tentando logar e criam códigos aleatórios, válidos por apenas alguns segundos.
Além de eliminar o problema da interceptação de SMS, esses códigos são bem mais seguros, pois usam o padrão TOTP, time-based one time password ou senhas de uso único baseadas em tempo. Ele gera uma sequência única de números e caracteres, com base exclusivamente na hora local, que expirará em poucos segundos e só pode ser usada uma vez.
Dessa forma, os códigos TOTP conseguem ser mais “aleatórios” e difíceis de adivinhar do que tokens recebidos via SMS. Vale a pena investir em aplicativos autenticadores; escolha o que mais combina com você e aumente a segurança de sua autenticação!