Você já ouviu falar em autenticação de dois fatores? Também conhecida como verificação 2FA ou em duas etapas, é uma tecnologia que já existe há algum tempo.
Patenteado em 1984, 2FA fornece identificação de usuários com base na combinação de dois componentes diferentes. Nos últimos anos, 2A FA foi considerada uma forma segura de identificação do usuário. Contudo, pesquisadores recentes podem provar que essa crença está errada.
Os vários tipos de engenharia social podem facilmente induzir o usuário a confirmar seus códigos de autenticação. Como isso poderia ser feito? De acordo com Nasir Memon, Professor de Ciência da Computação na Escola de Engenharia Tandon, o bandido precisaria simplesmente pedir ao usuário o código de verificação oficial.
Como? Enviando um segundo, mensagem de texto ou e-mail falsificado, solicitando ao usuário que encaminhe a original. Prof. Memon viu isso acontecer várias vezes. Esse tipo de 2FA é usado principalmente na Internet para verificar a identidade de um usuário que perdeu sua senha. Esses códigos geralmente são incorporados em um hiperlink de email.
Para provar que o 2FA não é realmente confiável, Prof. Memon junto com seus colegas Hossein Siadati e Toan Nguyen, publicaram um artigo baseado em seus experimentos que ilustra problemas relacionados ao 2FA. Como se vê, 2FA é principalmente um problema nas comunicações por SMS.
O que é autenticação de dois fatores baseada em SMS?
A verificação baseada em SMS é um subconjunto de autenticação de dois fatores (2FA) mecanismos em que uma senha descartável é usada como um segundo fator para autenticação. A verificação baseada em SMS não é capaz de fornecer segurança contra um ataque de phishing. O argumento é que, em um ataque bem-sucedido de phishing, o atacante atrairá a vítima para inserir a senha de uso único também. Esse ataque é implantado por atacantes em estado selvagem.
Histórias relacionadas: Topo 5 Ataques cibernéticos Iniciado por Lança Phishing
O experimento
Para provar seu ponto, os pesquisadores reuniram um grupo de 20 usuários de celulares apenas para descobrir que um quarto encaminharia instantaneamente o e-mail de verificação quando solicitado.
O que o pesquisador fez é imitar um VCFA (Ataque de encaminhamento de código de verificação) ataque, um termo que eles criaram para a ocasião de criminosos cibernéticos atraindo usuários para esquemas de engenharia social envolvendo 2FA.
assim, aqui está o que aconteceu durante o VCFA no 20 usuários móveis:
[…] imitamos um ataque de VCFA usando mensagens semelhantes às mensagens do código de verificação do Google. Compramos dois números de telefone dos EUA com 10 dígitos, um por imitar o papel de um provedor de serviços (v.g., Google em nosso experimento) e o outro por imitar o papel do atacante (v.g., enviando mensagem de phishing para assuntos). O código de área dos números de telefone era Mountain View, CA (código de área da sede do Google) para fazer a primeira mensagem parecer mais legítima e a segunda mais enganosa. Selecionamos aleatoriamente 20 assuntos da lista de contatos dos pesquisadores. Os sujeitos incluíram 10 machos e 10 fêmeas, principalmente com idade entre 25-35. 70% dos sujeitos eram estudantes. [...] Enviamos duas mensagens para cada sujeito de dois números diferentes. [...] 5 fora de 20 sujeitos encaminharam os códigos de verificação. Isso é traduzido para 25% sucesso para o ataque VCFA.
Quando ataques VCFA estão acontecendo em um ecossistema de email, é mais fácil para o usuário determinar se uma mensagem é verdadeira ou falsa. Contudo, em SMS, é muito difícil perceber a diferença. Em outras palavras, O SMS não é como uma mensagem de e-mail em que o usuário pode dar uma boa olhada no endereço do remetente e verificar se é real.
Ter um olhar para o todo pesquisa.