A autenticação de dois factores (2FA), com os 4 ou 6 dígitos que o banco envia por SMS e que o cliente deve introduzir para aprovar uma transacção, é um método muito utilizado por entidades financeiras de todo o mundo para manter a salvo o dinheiro dos seus clientes.
Os hackers podem aceder às mensagens de várias formas, uma das quais é aproveitando-se do erro no protocolo SS7, utilizado nas empresas de telecomunicações para coordenar o envio de mensagens e chamadas.
Para a rede SS7 não é importante quem envia o pedido, assim, se os hackers, conseguirem passar pelos sistemas de segurança, a rede vai seguir os seus comandos como se os mesmos fossem legítimos para enviar mensagens e chamadas.
Os hackers conseguem obter o nome do utilizador e palavra-passe da conta online, provavelmente através de phishing, keylogger ou trojans bancários. Assim, iniciam sessão na conta online e solicitam uma transferência. Actualmente, a maioria dos bancos pede uma confirmação adicional e envia um código de verificação à conta do proprietário.
Se o banco realiza esta operação através de SMS, aí é quando os hackers conseguem explorar a vulnerabilidade SS7, interceptam a mensagem e introduzem o texto, como se tivessem aquele telemóvel.
Os bancos aceitam a transferência como legítima já que a transacção foi autorizada duas vezes: com a palavra-passe do cliente e com o código de apenas uma utilização. O dinheiro acaba assim nas mãos dos hackers.
A Kaspersky Lab avança que tudo isto poderia ser evitado se os bancos utilizassem uma autenticação de dois factores que não dependesse de mensagens de texto (por exemplo, uma aplicação de autenticação ou um dispositivo de autenticação hardware como o Yubikei).
De momento, a maioria das entidades financeiras não permite outros meios de autenticação em dois estágios que não seja através de SMS. Os investigadores da Kaspersky Lab esperam que, num futuro próximo, os bancos de todo o mundo possam oferecer aos seus clientes outras opções que melhorem a sua protecção.
Via: Kaspersky Lab.