![](data:image/svg+xml;charset=utf-8,<svg height="270" width="604" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
A banca está a alterar a forma de autenticação nos serviços online, passando a usar, de uma forma generalizada, as SMS neste processo. Contrariamente ao que se poderia pensar, esta prática não é recomendada.
O acesso à conta bancária pela internet ou pelas aplicações no telemóvel passa a exigir uma medida extra de acesso. Em geral, os bancos deverão começar a enviar um código por mensagem escrita para o telemóvel dos clientes quando pretendem aceder às suas contas, como medida de segurança extra. [DN]
Estas medidas decorrem da entrada em vigor em Portugal de uma directiva europeia – ou pelo menos, da interpretação que a banca nacional faz dessa directiva.
A falha nesta forma de autenticação está em se julgar que o serviço de telefonia, e de mensagens escritas em particular, é seguro. Não é. Mesmo sem acesso físico ao telemóvel, uma técnica de hacking chamada “SIM Swapping” permite que o atacante duplique o cartão do telemóvel (SIM), assim passando a receber as mensagens SMS, entre as quais as usadas para autenticação de 2 factores, como as que a banca vai implementar.
Leituras:
- SIM swap scam [Wikipedia]
- Nine Charged in Alleged SIM Swapping Ring [Krebs on Security]
- Wave of SIM swapping attacks hit US cryptocurrency users [ZDNet]
- Hackers Hit Twitter C.E.O. Jack Dorsey in a ‘SIM Swap.’ You’re at Risk, Too. [New York Times]
- Bancos alemães fogem dos SMS contrariando bancos portugueses [AadM]
- Santander anuncia uso de SMS para validação do acesso a serviços [Santander]
- Alerta BPI sobre SMS falsas [BPI]
- BPI usa códigos de autenticação enviados por SMS [BPI]
- BCP usa códigos de autenticação enviados por SMS [BCP]
- CGD usa códigos de autenticação enviados por SMS [CGD]
- BES usa códigos de autenticação enviados por SMS [BES]