fbpx

Os cibercriminosos já conseguiram burlar a autenticação de duas etapas. Cuidado!

Os cibercriminosos já conseguiram burlar a autenticação de duas etapas. Cuidado!

A criatividade dos cibercriminosos(criminosos que usam a internet para aplicar golpes e fraudes) parece não ter limites. Como já mostrado em textos anteriores, não é muito difícil conseguir senhas e outros dados importantes de uma pessoa leiga usando meios técnicos e engenharia social. O golpe intitulado phishing(páginas falsas) é o meio mais usado pelos cibercriminosospara obter as senhas das vítimas. Assim, é necessária uma camada de proteção a mais, que apoie e reforce a segurança básica fornecida pelas senhas, que devem ser sempre “fortes”.

A “autenticação de duas etapas”, também conhecida como “autenticação de dois fatores”, consiste na utilização de informações adicionais, além da senha para autenticar um usuário. Além da senha (primeira etapa), o sistema deve requerer do usuário mais uma informação que envolve três aspectos: 1) você sabe2) você possui3) você é. Informações que apenas você sabe envolvem uma outra senha, uma pergunta  a que só você sabe a resposta ou um número de identificação pessoal (PIN). Informações ou coisas que você possui podem envolver códigos de verificação, cartões de identificação, token gerador de senhas ou acesso a um determinado dispositivo. Finalmente, o aspecto “você é” envolve informações biométricas como impressão digital, reconhecimento facial, entre outros.

O recurso de “autenticação de duas etapas” é oferecido por diversos serviços on-line, como Facebook, Instagram, Gmail, WhatsApp e diversos outros. Entretanto, ele é opcional e deve ser ativado. Ok! Então se eu ativar esse recurso estarei 100% protegido? A resposta é um sonoro NÃO! Como disse no início, a criatividade dos cibercriminososnão tem limites, e já existem casos em que autenticação de duas etapas foi vencida usando a engenharia social, isto é, a manipulação psicológica.

“Então se eu ativar esse recurso estarei 100% protegido? A resposta é um sonoro NÃO! Já existem casos em que autenticação de duas etapas foi vencida usando a engenharia social, isto é, a manipulação psicológica”

Recentemente, a empresa de segurança Kaspersky Lab divulgou uma nova e preocupante estratégia de golpe. A vítima recebe uma mensagem que diz mais ou menos o seguinte: “Olá, você não me conhece, mas este número de telefone já foi meu. Estou tentando acessar uma conta antiga associada a esse número, e ela me diz que enviará o código de verificação por SMS para seu telefone. Você poderia receber o código e enviá-lo para mim? Se não, tudo bem.”. É verdade que, caso você não use um número por muito tempo, sua operadora pode disponibilizá-lo a outro usuário. Sendo assim, é possível que um número móvel, ainda mais se for recente, tenha pertencido a outra pessoa. Entretanto, diante das poucas chances de isso acontecer, o mais provável é que seja um golpe.

Nesse caso, o criminoso já deve saber o seu e-mail e/ou número de telefone celular, graças aos inúmeros casos de vazamentos de informações que acontecem todos os anos, inclusive envolvendo serviços com reconhecida credibilidade. Com seus dados em mãos, o criminoso irá tentar obter acesso as suas contas. Se você tiver a autenticação de duas etapas ativada, no momento em que o crimino tentar redefinir sua senha, será enviado um código de verificação para o seu número de telefone. Sabendo disso, o criminoso irá tentar enganá-lo para obter o código de ativação, redefinir sua senha e conseguir acesso a sua conta, que pode ser um e-mail, um perfil de rede social e até um cadastro em um site de e-commerce. Caso a conta comprometida seja integrada com outros serviços, você poderá ter ainda mais problemas, pois o criminoso poderá acessar dados que vão além de seu e-mail e até praticar crimes em seu nome. Preocupante, não?

Enfim, a principal dica é nunca compartilhar senhas e códigos de verificação via telefone ou mensagens de texto. Mesmo que a pessoa seja um conhecido, talvez isso não seja verdade. Portanto, não é mais suficiente usar senhas fortes e ativar a “autenticação de duas etapas”, é necessário estar ciente e bem informado sobre as estratégias usadas pelos cibercriminosos. Todo cuidado é pouco!


Texto publicado originalmente no Jornal de Jales – coluna Fatecnologia – no dia 24 de junho de 2018.

Jorge Luís Gregório

Jorge Luís Gregório

Professor e entusiasta de tecnologia, estudioso da cultura NERD e fã de quadrinhos, animes e games. Mais um pai de menino, casado com a mulher mais linda da galáxia e cristão convicto. Gosto de ler ficção científica e discutir tecnologia, filmes, seriados, teologia, filosofia e política. Quer falar sobre esses e diversos outros assuntos? Venha comigo!