Como se proteger contra fraquezas de segurança móvel de SMS

Muitos bancos e sistemas corporativos de TI forçam os usuários a usar senhas de uso único por SMS para proteger suas contas, mas a maioria dos usuários pode facilmente contorná-las.

Imagine fazer uma viagem para a academia ou piscina. Antes de sair para sua atividade, você coloca seus objetos de valor em um armário, o que significa que seu telefone e sua carteira estão juntos. Como os provedores bancários costumam enviar mensagens de texto SMS para o seu telefone para aprovar transações suspeitas, se alguém conseguisse entrar no armário e acessar seus cartões e seu telefone (sem passar pelo PIN do seu telefone), certamente poderia ignorar quaisquer medidas de segurança em torno de transações suspeitas. .

Este foi o destino enfrentado por Charlotte Morgan, que relatou em um tópico no Twitter que um ladrão ignorou as fechaduras de seu armário de academia e ignorou a segurança de seu telefone para roubar dinheiro de sua conta bancária e fazer compras no valor de £5.000. Charlotte percebeu que todos os seus PINs, códigos de acesso e senhas eram diferentes.

É frequentemente afirmado nas comunidades de segurança que “o acesso físico acabou” devido à enorme quantidade de poder que um invasor tem para controlar o seu dispositivo, mas, na realidade, existem medidas tangíveis que as pessoas podem tomar para se protegerem de serem vítimas de tais ataques.

Muitas contas pessoais e corporativas costumam usar mensagens de texto SMS para fornecer senhas de uso único e adicionar uma camada extra de segurança antes que alguém possa fazer login em uma conta on-line, falar com um representante de suporte ao cliente (por exemplo, por meio de banco telefônico) ou até mesmo se inscrever para aplicativos bancários móveis (aplicativos bancários modernos exibem até o número PIN do seu cartão na própria interface de usuário do aplicativo).

Embora as senhas de uso único por SMS não sejam ideais (por exemplo, se alguém pudesse interceptar a mensagem, poderia obter o código), a alternativa é usar aplicativos de autenticação de dois fatores (2FA) ou tokens de hardware, que muitos fornecedores não usam. Use-o como padrão para reduzir o atrito do usuário.

Agora você pode estar pensando que os dados biométricos (impressão digital ou reconhecimento facial) ou o número PIN do telefone de alguém impedirão que um agente mal-intencionado acesse suas mensagens de texto. Na verdade, as medidas de reforço da segurança nos dispositivos de um usuário normalmente se concentram em garantir que o software executado no telefone esteja atualizado e livre de malware que possa roubar dados. Pessoalmente, uso aplicativos como o iVerify para ficar atento à segurança do meu telefone; No entanto, a maioria dos usuários pode facilmente contornar essas medidas quando se trata de senhas de uso único por SMS.

Simplesmente removendo o cartão SIM do seu telefone e colocando-o em outro telefone, você poderá receber quaisquer mensagens SMS 2FA enviadas para esse número de telefone sem precisar desbloquear o telefone. Esse telefone pegará o número de telefone do telefone anterior.

Para aqueles que estão lendo isto, você pode tomar medidas para proteger a si mesmo e à sua organização se estiver em condições de fornecer conselhos de segurança dentro de sua organização. Ao simplesmente ativar um bloqueio de PIN no seu cartão SIM, você pode impedir que terceiros usem seu cartão SIM em um dispositivo diferente sem primeiro inserir esse código (ou obter um código de desvio do provedor de rede, conhecido como código PUK). Este código também será solicitado quando o telefone for reiniciado e precisar se reconectar à sua operadora de telefonia.

Um usuário do iPhone pode acessar esse recurso navegando até Ajustes > Dados Móveis > PIN do SIM para alterar o PIN do SIM e ativá-lo para uso. No Android, isso pode ser encontrado em Configurações > Segurança > Configurar bloqueio do cartão SIM.

À medida que os dispositivos móveis passam a usar eSIM em vez de cartões SIM físicos, isso provavelmente também será um problema menor no futuro. Como os Apple iPhone 14 nos EUA agora usam exclusivamente eSIM, não há necessidade de transferir um cartão SIM físico para um dispositivo diferente. Dito isso, ainda é possível definir PINs do SIM no eSIM, e isso pode adicionar uma camada extra de segurança, especialmente se o seu telefone permitir que você leia mensagens de texto ou atenda chamadas quando estiver bloqueado.

Embora muitos de nós, profissionais de segurança cibernética, entendamos os perigos do envio de senhas de uso único via SMS, a realidade é que isso é algo que não temos escolha a não ser usar com muitos provedores. Portanto, é melhor nos assegurarmos da melhor maneira possível nessas circunstâncias. Os PINs do SIM são uma medida importante para nos ajudar nisso, principalmente quando dependemos de cartões SIM físicos.

Sobre o autor: Junade Ali é um tecnólogo experiente interessado em gerenciamento de engenharia de software, pesquisa de segurança cibernética e sistemas distribuídos.