Cibercriminosos interceptam SMS de bancos para esvaziar contas

Protocolo de telecomunicações SS7 é hackeado por criminosos a fim de roubar códigos de autenticação de dois fatores.

Autenticação de dois fatores (2FA na sigla em inglês) é um método utilizado amplamente por instituições financeiras ao redor do mundo que objetiva manter o dinheiro de clientes seguro: sabe, aqueles códigos de 4 a 6 dígitos que você recebe do banco e precisa digitar para aprovar uma transação. Usualmente, bancos enviam esses códigos de SMS por mensagens de texto. Infelizmente, SMS é uma das formas mais frágeis de implementar 2FA, pois são interceptáveis. Foi exatamente isso que ocorreu no Reino Unido.
Como os criminosos colocam as mãos nas mensagens de texto? Bem, há formas diferentes, e uma das mais extravagantes é por meio da falha de segurança SS7, um protocolo usado por empresas de telecomunicações para coordenar como direcionam mensagens e chamadas (você pode ler mais sobre nesse artigo). A rede SS7 não se importa com quem enviou o pedido. Caso criminosos consigam acessá-la, a rede seguirá seus comandos de redirecionamento de mensagens e chamadas como se fossem legítimos.

O esquema segue assim: os cibercriminosos primeiro obtêm a senha e usuário do internet banking – seja por phishing, keyloggers ou Banking Trojans. A partir daí, entram na conta e realizam a transferência. Hoje, a maioria dos bancos pediria uma confirmação adicional para essa operação e enviaria um código de verificação ao usuário da conta. Se o banco faz isso por meio de mensagens de texto, é aí que os malfeitores se valem da vulnerabilidade SS7: interceptam o texto e usam o código, como se estivessem com seu telefone. As instituições financeiras, por sua vez, aceitam a transação como legítima, pois foi autorizada duas vezes: uma pela senha, e outra com o código de uso único. E assim, o dinheiro vai para o criminoso.

Os bancos do Reino Unido confirmaram ao Motherboard que alguns de seus clientes foram vítimas desse tipo de fraude. Em 2017, o Süddeutsche Zeitung reportou que bancos alemães também passaram pelo mesmo problema.

Há também boas notícias. Como a própria Metro Bank comenta, um número mínimo de clientes passaram por isso e “nenhum deles saiu no prejuízo”.

A situação como um todo poderia ser evitada se os bancos utilizassem outras formas de 2FA que não se valessem de mensagens de texto (como por exemplo, um aplicativo de autenticações ou, digamos uma autenticação pautada em hardware como o Yubikey). Infelizmente, no momento, as instituições financeiras (com raras exceções) não permitem outras formas de autenticação de dois fatores que não SMS. Esperemos que em futuro próximo mais bancos mundialmente ofereçam alternativas aos clientes no que concerne sua proteção.

Portanto, a lição dessa história é a seguinte:

  • É bom usar autenticação de dois fatores sempre possível, mas melhor ainda é utilizar um método que envolva aplicativos de autenticação ou Yubikeys. Experimente esses como alternativa ao SMS.
  • Useuma solução de antivírus confiávelpara manter os Banking Trojans e keyloggers longe de seu sistema – de forma que não possam roubar suas credenciais de acesso, e você nem precise se preocupar em situações como essa.
Dicas