Insegurança na banca online

A banca está a alterar a forma de autenticação nos serviços online, passando a usar, de uma forma generalizada, as SMS neste processo. Contrariamente ao que se poderia pensar, esta prática não é recomendada.

O acesso à conta bancária pela internet ou pelas aplicações no telemóvel passa a exigir uma medida extra de acesso. Em geral, os bancos deverão começar a enviar um código por mensagem escrita para o telemóvel dos clientes quando pretendem aceder às suas contas, como medida de segurança extra. [DN]

Estas medidas decorrem da entrada em vigor em Portugal de uma directiva europeia – ou pelo menos, da interpretação que a banca nacional faz dessa directiva.

A falha nesta forma de autenticação está em se julgar que o serviço de telefonia, e de mensagens escritas em particular, é seguro. Não é. Mesmo sem acesso físico ao telemóvel, uma técnica de hacking chamada “SIM Swapping” permite que o atacante duplique o cartão do telemóvel (SIM), assim passando a receber as mensagens SMS, entre as quais as usadas para autenticação de 2 factores, como as que a banca vai implementar.

Leituras:

  • SIM swap scam [Wikipedia]
  • Nine Charged in Alleged SIM Swapping Ring [Krebs on Security]
  • Wave of SIM swapping attacks hit US cryptocurrency users [ZDNet]
  • Hackers Hit Twitter C.E.O. Jack Dorsey in a ‘SIM Swap.’ You’re at Risk, Too. [New York Times]
  • Bancos alemães fogem dos SMS contrariando bancos portugueses [AadM]
  • Santander anuncia uso de SMS para validação do acesso a serviços [Santander]
  • Alerta BPI sobre SMS falsas [BPI]
  • BPI usa códigos de autenticação enviados por SMS [BPI]
  • BCP usa códigos de autenticação enviados por SMS [BCP]
  • CGD usa códigos de autenticação enviados por SMS [CGD]
  • BES usa códigos de autenticação enviados por SMS [BES]

Comments

  1. Luís Lavoura says:

    Sim, mas isso do SIM Swapping, pela descrição que vejo na wikipedia,
    (1) Não é tecnicamente muito fácil de fazer. O atacante tem que, não somente obter dados sobre o atacado, como também fingir, junto de uma operadora de telemóveis, ser o atacado. Não é trivial, demora tempo e é tecnicamente complicado.
    (2) É, em princípio, rapidamente detetado pelo atacado, uma vez que este perde acesso ao serviço de telemóvel.

  2. Luís Lavoura says:

    Mais problemático com esta coisa da certificação por SMS é que, se um indivíduo não tem telemóvel, ou se o perde, está quilhado.
    Montes de pessoas perdem os seus telemóveis. Eu já perdi o meu umas 3 ou 4 vezes. E outras muitas vezes não o perdi, mas esqueci-me dele algures.
    E as pesoas têm o direito de não ter telemóvel. Até há pouco tempo, eu conhecia quem não tivesse.

    • j. manuel cordeiro says:

      Sim, também são problemas resultantes desta estratégia. Talvez quem não tenha telemóvel não aceda aos serviços online…

  3. Viper says:

    Pergunto então qual é a alternativa viável que não tenha condicionantes?

    • Paulo Marques says:

      O cartão matriz, que tem códigos que são usados apenas uma vez. Ou um dispositivo que crie códigos a pedido de acordo com uma chave pré-determinada e o tempo, que até pode ser o telemóvel – como o Google Authenticator.

      • Luís Lavoura says:

        É curioso, quase todos os bancos atualmente têm cartões-matriz, que parece que vão deixar de ser usados. Porque será?

        E o Deutsche Bank (atualmente Abanca) tinha um dispositivo que gerava códigos a pedido (um “token”), que também foi agora desativado. Porque será?

        Parece que todos os bancos discordam do Paulo Marques…

        • Paulo Marques says:

          Está a usar o argumento de que os bancos são entidades fiáveis?
          eu prefiro confiar em peritos de segurança informática que analisam a questão há décadas e que não mudaram de opinião (nem a física) , mas você lá sabe.

    • j. manuel cordeiro says:
  4. Carlos Almeida says:

    O Credito Agrícola usa essa técnica de autenticação nas contas das empresas há muitos anos. É rápido e seguro. Uso esse método para transferências até para o estrangeiro há mais de 10 anos sem qualquer problema.

  5. Julio Rolo Santos says:

    Já se vê que nada é infalível neste mundo da internet. A sorte é escapar aos vigaros que passam a vida a vascular a carteira eletrónica de cada um e os Bancos procuram formas para os enfrentarem mas nem sempre com sucesso.

  6. Jorge says:

    Não existe um método completamente seguro para transmissão de dados. O que é importante é o tempo que demora a quebrar o segredo, se demorar mais tempo que a operação alvo já chega, porque o resultado será inútil.

Responder a j. manuel cordeiro Cancelar resposta

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.