A autenticação de dois etapa tornou-se proeminente entre muitos provedores de serviços online. Exigindo que os usuários fazer login usando seu telefone ou qualquer outro dispositivo móvel após fornecer seu nome de usuário e senha, operadoras de telefonia móvel podem inadvertidamente expor seus clientes a ameaças de segurança cibernética simplesmente contando com esse segundo fator de autenticação.
Story relacionado: Invisible Man Trojan Android Metas Usuários de Banking Apps
Como os hackers podem utilizar operadoras de celular para hackear você?
Lógica e racionalidade podem nos levar à conclusão de que um sistema de autenticação de dois fatores é um recurso necessário para lidar com ameaças de segurança cibernética, independentemente de tal sistema ser implementado em serviços financeiros ou simplesmente fazer login em sua conta do Facebook. Contudo, as pessoas tendem a se preocupar com o primeiro, garantir o acesso às suas contas financeiras torna-se a narrativa dominante, negligentemente negligenciando o fato de que tais precauções podem se tornar inúteis se um hacker puder obter acesso à sua conta de e-mail. É quase um requisito universal; inscreva-se em qualquer serviço online, e há pouca ou nenhuma chance de você não ser solicitado a fornecer um endereço de e-mail junto com seu registro. Conseqüentemente, estar no controle do seu endereço de e-mail, pode-se facilmente solicitar um e-mail de redefinição de senha enviado a eles, quem segue em relação a potenciais ameaças à segurança cibernética, é evidente.
Não deveria ser uma surpresa ver os provedores de webmail hoje em dia começando a encorajar ativamente um sistema de autenticação de dois fatores, além de sugerir combinações de senha cada vez mais complexas e diversificadas para seus usuários. Em tais casos, um usuário é solicitado a inserir seu número de celular em sua conta, que é então usado para enviar um código único, prestes a expirar após um certo período ter decorrido, que precisa ser inserido após fornecer a senha da conta. É um conceito simples, mas eficiente, com a premissa de que, se de alguma forma os hackers conseguirem obter acesso à sua senha de e-mail - por meio de phishing ou outros métodos, eles ainda precisam de acesso ao seu telefone celular para obter o código único, assim obter acesso à sua conta de e-mail.
Por mais irônico que seja, a forma comumente usada de autenticação de dois fatores de um código único na forma de uma mensagem de texto enviada para o telefone celular do usuário, distribuído por meio de suas operadoras de celular, também é o menos seguro. Com aquilo em mente, nem todos os métodos de autenticação de dois fatores são igualmente seguros para sua base de usuários. Para hackers, todo o método de autenticação de dois fatores pode inevitavelmente revelar-se como um exploit fácil. Se um invasor conseguir roubar sua senha de e-mail, não há precauções ou medidas de segurança postas em prática para impedi-los de se envolver em engenharia social e ligar para sua operadora de celular, disfarçando-se de você, alegando que você perdeu seu telefone. A partir daí, não há muito trabalho para o hacker solicitar a ativação de um novo telefone e um novo cartão SIM correspondente para acompanhá-lo. Por último, as pessoas exibem um comportamento crédulo o tempo todo; os hackers também podem ligar para o suporte ao cliente fingindo ser você e solicitar que todas as chamadas e mensagens de texto sejam encaminhadas para um número de telefone diferente.
Operadoras de celular e o que você pode fazer para evitar que ocorra uma intrusão
É recomendado que você fique longe dos serviços de autenticação de dois fatores que enviam códigos de usuário. Em vez de, você pode reservar um momento e verificar novamente se os serviços online que você usa e que oferecem autenticação de dois fatores também podem fazer uso de um método de autenticação baseado em aplicativo, como o Google Authenticator e o Authy. As organizações foram recentemente instadas pelo Instituto Nacional de Padrões e Tecnologia a adotar outras formas de autenticação de dois fatores em uma nova diretriz de autenticação digital proposta – senhas de uso único baseadas em tempo geradas por aplicativos móveis são uma alternativa proposta ao método de mensagem de texto comumente usado.
A Krebsonsecurity demonstrou em grande medida o quão valioso seu e-mail pode ser para hackers e os perigos aos quais um e-mail comprometido expõe seu proprietário.. Os usuários são incentivados a reservar um tempo fora de sua programação para revisar quaisquer opções de autenticação disponíveis para os serviços online que você usa regularmente. Você pode fazer isso visitando twofactorauth.org. Por exemplo, uma pesquisa básica no "Facebook" revelará que a plataforma de rede social oferece opções de autenticação secundária por outros meios que não mensagens de texto que incluem token de hardware (como uma chave de segurança USB física ou um token de software (Google Authenticator).
Em alguns casos, como é com o Facebook, se você já optou por uma autenticação de dois fatores e recebeu um token único por SMS, você pode ter que desativar temporariamente o recurso de autenticação de dois fatores via SMS se decidir mudar para um método diferente de autenticação que não envolva suas operadoras de celular.
Existem, é claro, pequenos inconvenientes adicionais para aqueles que estão lidando com grande capital per se e precisam daquela tranquilidade adicional de que sua segurança está garantida e os ativos bem protegidos. Muitos sites grandes que lidam com grande capital vinculado a serviços online ainda não oferecem muito conforto e serenidade para seus usuários, principalmente devido a opções de autenticação não tão robustas.
No caso infeliz de seu telefone ser roubado ou você perdê-lo, especialistas sugerem que você telefone para sua operadora de celular e solicite que seu cartão SIM seja bloqueado para o seu dispositivo, evitando que o telefone seja usado com outro cartão SIM. Você também pode pedir ao seu provedor para definir uma senha ou um PIN em sua conta que precisa ser fornecido antes que um representante de atendimento ao cliente seja incumbido de discutir ou alterar qualquer um dos seus detalhes e informações pessoais.
Em outra nota, é importante aplicar um sistema de autenticação de dois fatores à sua conta, mesmo que o único disponível seja a autenticação por meio de um código único enviado como uma mensagem de texto. É uma etapa de segurança válida que não deve excluir as opções de autenticação de dois fatores disponíveis na ausência de métodos alternativos de autenticação de dois fatores. Dito isto, qualquer forma de autenticação de dois fatores é melhor do que depender apenas de um nome de usuário e senha simples, por mais complexo e sofisticado que seja.
É evidente, mas as operadoras de celular não são a única vulnerabilidade potencial, deve-se permanecer vigilante e sagaz ao instalar aplicativos em seu dispositivo móvel. Certifique-se de passar algum tempo pesquisando o aplicativo e a reputação do desenvolvedor antes de se comprometer a instalá-lo. Outra coisa a ser cautelosa são quaisquer permissões solicitadas por aplicativos, bem como as permissões que você já concedeu a qualquer um de seus aplicativos existentes. Se o seu telefone estiver comprometido por malware móvel, Isso não é bom, ou qualquer uso para você se você decidir um recurso de autenticação de dois fatores.