Em outubro de 2024, o The Wall Street Journal noticiou um ataque em grande escala contra várias empresas de telecomunicações dos Estados Unidos, incluindo a AT&T, Verizon e a Lumen Technologies. Nos meses seguintes, enquanto as autoridades norte-americanas investigavam o ataque e a sua extensão, foram divulgadas novas directrizes destinadas a ajudar as pessoas a proteger melhor os seus dados e informações pessoais e financeiras. Consequentemente, a 18 de dezembro de 2024, a “Cybersecurity and Infrastructure Security Agency” (CISA) publicou várias recomendações sobre segurança cibernética em telemóveis que se deviam aplicar também a Portugal e, em particular, ao sector bancário e financeiro nacional. Uma destas recomendações alertava contra o uso de um método específico de autenticação em dois factores (2FA) ou multifactor (MFA).

O documento não afirma que todas as formas de autenticação multifactor são inseguras. Pelo contrário, continua a recomendar o uso de MFA. No entanto, o relatório destacou que existem várias formas de implementar MFA e que uma delas, bastante comum — o envio de códigos via mensagens de texto (SMS) —, é vulnerável e devia deixar de ser usada.

Conforme reportado, a vulnerabilidade surgiu quando os hackers conseguiram aceder a algumas mensagens de texto (embora não a todas). Nomeadamente, enquanto iPhones conseguem enviar mensagens de forma segura para outros iPhones (com iMessage) e Androids para outros Androids (RCS ou “Rich Communication Services”), as mensagens trocadas entre estas plataformas não são seguras. Como algumas ferramentas autenticação por MFA usam estes sistemas inseguros, os códigos enviados por SMS poderiam ser lidos por hackers e usados para aceder a contas protegidas por MFA.

O relatório da CISA recomendou que, os utilizadores deixem de usar o MFA baseado em mensagens de texto e passem a usar aplicações de autenticação. Estas aplicações, embora ainda vulneráveis a ataques de phishing (em que um atacante se faz passar por um site legítimo para obter informações pessoais), são consideradas mais seguras do que o uso de códigos enviados por SMS.

Acreditamos, na CpC: Iniciativa Cidadãos pela Cibersegurança, que o Banco de Portugal, o Centro Nacional de Cibersegurança e o Parlamento da Assembleia da República deveriam forçar os bancos e empresas financeiras em Portugal a abandonarem a autenticação dos seus clientes por MFA usando SMS e a serem forçados a adoptar tecnologias mais seguras para os seus clientes. Recordamos ainda que existe muito software malicioso que pode ser instalado sem conhecimento do utilizador e que permite o acesso a mensagens de SMS enviadas e conservadas no dispositivo móvel.

O método de MFA mais resistente a ataques de phishing é o “FIDO”, um protocolo que usa uma chave digital ou um dispositivo USB físico que deve ser ligado a um computador. Segundo a “FIDO Alliance”, responsável pelo desenvolvimento destaa tecnologia, o protocolo mais recente permite que os utilizadores façam login num serviço usando um PIN ou um método biométrico, como impressão digital ou reconhecimento facial, em vez de introduzir uma password.

Se o sector financeiro fosse forçado pelo Legislador a enviar a todos os seus clientes um destes dispositivos USB (que custam, cada, entre 20 a 30 euros) em que poderiam começar por aqueles que têm e usar acessos de homebanking pela Internet e conseguir desta forma um grande aumento da segurança cibernética e reduzir as vulnerabilidades relacionadas a métodos de MFA menos robustos.

Ler também:
https://cidadaospelaciberseguranca.com/2024/07/29/alerta-proteja-a-sua-organizacao-contra-ataques-abandone-o-uso-de-pins-por-sms/
https://cidadaospelaciberseguranca.com/2024/05/12/fraudes-online-em-ascensao-bloqueio-de-sms-no-reino-unido-e-medidas-essenciais-para-combater-ameacas-digitais-na-europa-e-em-portugal/