{"id":22682,"date":"2024-06-18T14:06:34","date_gmt":"2024-06-18T17:06:34","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22682"},"modified":"2024-06-18T14:06:34","modified_gmt":"2024-06-18T17:06:34","slug":"when-two-factor-authentication-useless","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/when-two-factor-authentication-useless\/22682\/","title":{"rendered":"Quando a autentica\u00e7\u00e3o de dois fatores \u00e9 in\u00fatil"},"content":{"rendered":"

A autentica\u00e7\u00e3o de dois fatores (2FA) com o uso de senhas de uso \u00fanico (OTPs<\/a>) agora \u00e9 frequentemente vista como um rem\u00e9dio para todos os males contra phishing, engenharia social, roubo de conta e outras doen\u00e7as cibern\u00e9ticas. Ao solicitar uma OTP no login, o servi\u00e7o em quest\u00e3o fornece uma camada de prote\u00e7\u00e3o adicional de verifica\u00e7\u00e3o do usu\u00e1rio. O c\u00f3digo pode ser gerado em um aplicativo especial diretamente no dispositivo do usu\u00e1rio, embora, infelizmente, poucas pessoas se preocupem em instalar e configurar um aplicativo autenticador<\/a>. Portanto, os sites geralmente enviam um c\u00f3digo de verifica\u00e7\u00e3o na forma de texto, e-mail, notifica\u00e7\u00e3o push, mensagem de IM ou at\u00e9 mesmo chamada de voz.<\/p>\n

V\u00e1lido por um tempo limitado, esse c\u00f3digo aumenta a seguran\u00e7a significativamente. Mas n\u00e3o \u00e9 uma solu\u00e7\u00e3o m\u00e1gica: mesmo com a 2FA<\/a>, as contas pessoais permanecem vulner\u00e1veis aos bots de OTP, softwares automatizados que induzem os usu\u00e1rios a revelarem suas OTPs por meio de engenharia social.<\/p>\n

Para descobrir qual o papel desses bots no phishing e como eles funcionam, continue lendo\u2026<\/p>\n

Como funcionam os bots de OTP<\/h2>\n

Comandados por um painel de controle em um navegador da Web ou pelo Telegram, esses bots se passam por organiza\u00e7\u00f5es leg\u00edtimas, como bancos, para induzir a v\u00edtima a revelar uma OTP enviada. Veja como isso se desenrola:<\/p>\n

    \n
  1. Tendo obtido as credenciais de login da v\u00edtima, incluindo a senha (veja abaixo como), o golpista faz login na conta da v\u00edtima e \u00e9 convidado a inserir uma OTP.<\/li>\n
  2. A v\u00edtima recebe a OTP no telefone.<\/li>\n
  3. O bot de OTP liga para a v\u00edtima e, usando um script de engenharia social pr\u00e9-gravado, solicita que ela insira o c\u00f3digo recebido.<\/li>\n
  4. A v\u00edtima digita inocentemente o c\u00f3digo ali mesmo em seu telefone durante a chamada.<\/li>\n
  5. O c\u00f3digo \u00e9 retransmitido para o bot do Telegram do invasor.<\/li>\n
  6. O golpista obt\u00e9m acesso \u00e0 conta da v\u00edtima.<\/li>\n<\/ol>\n

    A fun\u00e7\u00e3o principal do bot de OTP \u00e9 ligar para a v\u00edtima, enquanto o sucesso do golpe depender\u00e1 de qu\u00e3o persuasivo o bot for: as OTPs t\u00eam uma vida \u00fatil curta, portanto, as chances de se obter um c\u00f3digo v\u00e1lido durante uma chamada telef\u00f4nica s\u00e3o muito maiores do que de qualquer outra maneira. \u00c9 por isso que os bots de OTP oferecem v\u00e1rias op\u00e7\u00f5es para ajuste dos par\u00e2metros de chamada.<\/p>\n

    \"Lista<\/a>

    Este bot de OTP possui mais de uma d\u00fazia de recursos: scripts prontos e personalizados em v\u00e1rios idiomas, 12 modos de opera\u00e7\u00e3o e at\u00e9 suporte t\u00e9cnico em tempo integral<\/p><\/div>\n

    Os bots de OTP s\u00e3o um neg\u00f3cio, portanto, para come\u00e7ar, os golpistas compram uma assinatura em criptomoeda que custa o equivalente a at\u00e9 US$ 420 por semana. Em seguida, eles alimentam o bot com o nome, o n\u00famero e os dados banc\u00e1rios da v\u00edtima; em seguida, selecionam a organiza\u00e7\u00e3o que desejam representar.<\/p>\n

    \"Menu<\/a>

    O menu de bots f\u00e1cil de usar \u00e9 acess\u00edvel at\u00e9 mesmo para golpistas sem habilidades de programa\u00e7\u00e3o<\/p><\/div>\n

    Para fins de plausibilidade, os golpistas podem ativar a fun\u00e7\u00e3o de spoofing especificando o n\u00famero de telefone de onde a chamada supostamente viria, que \u00e9 exibido no telefone da v\u00edtima. Eles tamb\u00e9m podem personalizar o idioma e at\u00e9 a voz do bot. Todas as vozes s\u00e3o geradas por IA, portanto, por exemplo, o bot de OTP pode \u201cfalar\u201d ingl\u00eas com sotaque indiano ou espanhol. Se uma chamada for encaminhada para o correio de voz, o bot sabe que dever\u00e1 desligar. E para garantir que tudo esteja configurado corretamente, os fraudadores podem verificar as configura\u00e7\u00f5es do bot de OTP fazendo uma chamada para seu pr\u00f3prio n\u00famero de teste antes de iniciar um ataque.<\/p>\n

    A v\u00edtima precisa acreditar que a chamada \u00e9 leg\u00edtima, portanto, antes de discar o n\u00famero, alguns bots de OTP podem enviar uma mensagem de texto avisando da chamada. Isso baixa a guarda do alvo, pois \u00e0 primeira vista n\u00e3o h\u00e1 nada suspeito: voc\u00ea recebe uma notifica\u00e7\u00e3o de texto do \u201cbanco\u201d sobre uma chamada futura e, alguns minutos depois, eles ligam. Ent\u00e3o, n\u00e3o pode ser uma fraude. Mas \u00e9.<\/p>\n

    Durante uma chamada, alguns bots podem solicitar n\u00e3o apenas uma OTP, mas tamb\u00e9m outros dados, como n\u00famero do cart\u00e3o banc\u00e1rio e data de validade, c\u00f3digo de seguran\u00e7a ou PIN, data de nascimento, detalhes de documentos e assim por diante.<\/p>\n

    Para um maior detalhamento sobre o funcionamento interno dos bots de OTP, confira nosso relat\u00f3rio sobre Securelist<\/a>.<\/p>\n

    Os bots sozinhos n\u00e3o s\u00e3o suficientes<\/h2>\n

    Embora os bots de OTP sejam ferramentas eficazes para burlar a 2FA, eles s\u00e3o totalmente in\u00fateis sem os dados pessoais da v\u00edtima. Para obter acesso \u00e0 conta, os invasores precisam pelo menos de login, n\u00famero de telefone e senha da v\u00edtima. Mas, quanto mais informa\u00e7\u00f5es eles tiverem sobre o alvo (nome completo, data de nascimento, endere\u00e7o, e-mail, detalhes do cart\u00e3o banc\u00e1rio), melhor (para eles). Esses dados podem ser obtidos de v\u00e1rias maneiras:<\/p>\n