{"id":11449,"date":"2019-02-25T19:11:55","date_gmt":"2019-02-25T22:11:55","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11449"},"modified":"2019-11-22T07:09:21","modified_gmt":"2019-11-22T10:09:21","slug":"ss7-hacked","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ss7-hacked\/11449\/","title":{"rendered":"Cibercriminosos interceptam SMS de bancos para esvaziar contas"},"content":{"rendered":"

Autentica\u00e7\u00e3o de dois fatores<\/a> (2FA na sigla em ingl\u00eas) \u00e9 um m\u00e9todo utilizado amplamente por institui\u00e7\u00f5es financeiras ao redor do mundo que objetiva manter o dinheiro de clientes seguro: sabe, aqueles c\u00f3digos de 4 a 6 d\u00edgitos que voc\u00ea recebe do banco e precisa digitar para aprovar uma transa\u00e7\u00e3o. Usualmente, bancos enviam esses c\u00f3digos de SMS por mensagens de texto. Infelizmente, SMS \u00e9 uma das formas mais fr\u00e1geis de implementar 2FA, pois s\u00e3o intercept\u00e1veis. Foi exatamente isso que ocorreu no Reino Unido.
\nComo os criminosos colocam as m\u00e3os nas mensagens de texto? Bem, h\u00e1 formas diferentes, e uma das mais extravagantes \u00e9 por meio da falha de seguran\u00e7a SS7, um protocolo usado por empresas de telecomunica\u00e7\u00f5es para coordenar como direcionam mensagens e chamadas (voc\u00ea pode ler mais sobre nesse artigo<\/a>). A rede SS7 n\u00e3o se importa com quem enviou o pedido. Caso criminosos consigam acess\u00e1-la<\/a>, a rede seguir\u00e1 seus comandos de redirecionamento de mensagens e chamadas como se fossem leg\u00edtimos.<\/p>\n

O esquema segue assim: os cibercriminosos primeiro obt\u00eam a senha e usu\u00e1rio do internet banking \u2013 seja por phishing<\/a>, keyloggers ou Banking Trojans<\/a>. A partir da\u00ed, entram na conta e realizam a transfer\u00eancia. Hoje, a maioria dos bancos pediria uma confirma\u00e7\u00e3o adicional para essa opera\u00e7\u00e3o e enviaria um c\u00f3digo de verifica\u00e7\u00e3o ao usu\u00e1rio da conta. Se o banco faz isso por meio de mensagens de texto, \u00e9 a\u00ed que os malfeitores se valem da vulnerabilidade SS7: interceptam o texto e usam o c\u00f3digo, como se estivessem com seu telefone. As institui\u00e7\u00f5es financeiras, por sua vez, aceitam a transa\u00e7\u00e3o como leg\u00edtima, pois foi autorizada duas vezes: uma pela senha, e outra com o c\u00f3digo de uso \u00fanico. E assim, o dinheiro vai para o criminoso.<\/p>\n

Os bancos do Reino Unido confirmaram ao Motherboard<\/a> que alguns de seus clientes foram v\u00edtimas desse tipo de fraude. Em 2017, o S\u00fcddeutsche Zeitung<\/a> reportou que bancos alem\u00e3es tamb\u00e9m passaram pelo mesmo problema.<\/p>\n

H\u00e1 tamb\u00e9m boas not\u00edcias. Como a pr\u00f3pria Metro Bank comenta, um n\u00famero m\u00ednimo de clientes passaram por isso e \u201cnenhum deles saiu no preju\u00edzo\u201d.<\/p>\n

A situa\u00e7\u00e3o como um todo poderia ser evitada se os bancos utilizassem outras formas de 2FA que n\u00e3o se valessem de mensagens de texto (como por exemplo, um aplicativo de autentica\u00e7\u00f5es<\/a> ou, digamos uma autentica\u00e7\u00e3o pautada em hardware como o Yubikey). Infelizmente, no momento, as institui\u00e7\u00f5es financeiras (com raras exce\u00e7\u00f5es) n\u00e3o permitem outras formas de autentica\u00e7\u00e3o de dois fatores que n\u00e3o SMS. Esperemos que em futuro pr\u00f3ximo mais bancos mundialmente ofere\u00e7am alternativas aos clientes no que concerne sua prote\u00e7\u00e3o.<\/p>\n

Portanto, a li\u00e7\u00e3o dessa hist\u00f3ria \u00e9 a seguinte:<\/p>\n