A banca está a alterar a forma de autenticação nos serviços online, passando a usar, de uma forma generalizada, as SMS neste processo. Contrariamente ao que se poderia pensar, esta prática não é recomendada.
O acesso à conta bancária pela internet ou pelas aplicações no telemóvel passa a exigir uma medida extra de acesso. Em geral, os bancos deverão começar a enviar um código por mensagem escrita para o telemóvel dos clientes quando pretendem aceder às suas contas, como medida de segurança extra. [DN]
Estas medidas decorrem da entrada em vigor em Portugal de uma directiva europeia – ou pelo menos, da interpretação que a banca nacional faz dessa directiva.
A falha nesta forma de autenticação está em se julgar que o serviço de telefonia, e de mensagens escritas em particular, é seguro. Não é. Mesmo sem acesso físico ao telemóvel, uma técnica de hacking chamada “SIM Swapping” permite que o atacante duplique o cartão do telemóvel (SIM), assim passando a receber as mensagens SMS, entre as quais as usadas para autenticação de 2 factores, como as que a banca vai implementar.
Leituras:
- SIM swap scam [Wikipedia]
- Nine Charged in Alleged SIM Swapping Ring [Krebs on Security]
- Wave of SIM swapping attacks hit US cryptocurrency users [ZDNet]
- Hackers Hit Twitter C.E.O. Jack Dorsey in a ‘SIM Swap.’ You’re at Risk, Too. [New York Times]
- Bancos alemães fogem dos SMS contrariando bancos portugueses [AadM]
- Santander anuncia uso de SMS para validação do acesso a serviços [Santander]
- Alerta BPI sobre SMS falsas [BPI]
- BPI usa códigos de autenticação enviados por SMS [BPI]
- BCP usa códigos de autenticação enviados por SMS [BCP]
- CGD usa códigos de autenticação enviados por SMS [CGD]
- BES usa códigos de autenticação enviados por SMS [BES]
Sim, mas isso do SIM Swapping, pela descrição que vejo na wikipedia,
(1) Não é tecnicamente muito fácil de fazer. O atacante tem que, não somente obter dados sobre o atacado, como também fingir, junto de uma operadora de telemóveis, ser o atacado. Não é trivial, demora tempo e é tecnicamente complicado.
(2) É, em princípio, rapidamente detetado pelo atacado, uma vez que este perde acesso ao serviço de telemóvel.
E, no entanto, acontece. Estes atacantes escolhem muito bem os alvos.
Mais problemático com esta coisa da certificação por SMS é que, se um indivíduo não tem telemóvel, ou se o perde, está quilhado.
Montes de pessoas perdem os seus telemóveis. Eu já perdi o meu umas 3 ou 4 vezes. E outras muitas vezes não o perdi, mas esqueci-me dele algures.
E as pesoas têm o direito de não ter telemóvel. Até há pouco tempo, eu conhecia quem não tivesse.
Sim, também são problemas resultantes desta estratégia. Talvez quem não tenha telemóvel não aceda aos serviços online…
Pergunto então qual é a alternativa viável que não tenha condicionantes?
O cartão matriz, que tem códigos que são usados apenas uma vez. Ou um dispositivo que crie códigos a pedido de acordo com uma chave pré-determinada e o tempo, que até pode ser o telemóvel – como o Google Authenticator.
É curioso, quase todos os bancos atualmente têm cartões-matriz, que parece que vão deixar de ser usados. Porque será?
E o Deutsche Bank (atualmente Abanca) tinha um dispositivo que gerava códigos a pedido (um “token”), que também foi agora desativado. Porque será?
Parece que todos os bancos discordam do Paulo Marques…
Está a usar o argumento de que os bancos são entidades fiáveis?
eu prefiro confiar em peritos de segurança informática que analisam a questão há décadas e que não mudaram de opinião (nem a física) , mas você lá sabe.
Ver aqui: https://abertoatedemadrugada.com/2019/09/bancos-alemaes-fogem-dos-sms.html
O Credito Agrícola usa essa técnica de autenticação nas contas das empresas há muitos anos. É rápido e seguro. Uso esse método para transferências até para o estrangeiro há mais de 10 anos sem qualquer problema.
Já se vê que nada é infalível neste mundo da internet. A sorte é escapar aos vigaros que passam a vida a vascular a carteira eletrónica de cada um e os Bancos procuram formas para os enfrentarem mas nem sempre com sucesso.
Não existe um método completamente seguro para transmissão de dados. O que é importante é o tempo que demora a quebrar o segredo, se demorar mais tempo que a operação alvo já chega, porque o resultado será inútil.