Ataques man-in-the-middle baseados em SMS .
O maior problema com o MFA tem a ver com sua implementação mais comum: usar senhas descartáveis (OTP) SMS. Já existe farta documentação comprovando que os OTPs transmitidos por SMS são vulneráveis à interceptação (por exemplo, troca de SIM ou golpes de portabilidade de número de celular). Inclusive, por esse motivo, o National Institute of Standards and Technologie (NIST) em sua publicação especial 800-63 Guidelines recomendou restringir o uso de OTP via SMS e eliminar completamente a opção de envio de OTP por e-mail .
A fraqueza tem a ver com dois fatores:
a facilidade com que os hackers podem comprometer os smartphones dos usuários e atribuir o número de telefone temporariamente a um telefone sob seu controle; e
a transmissão de mensagens SMS em texto livre (as mensagens SMS não são criptografadas).
Existem várias maneiras de realizar esse ataque. As mais comuns são:
SIM Swapping - onde os invasores enganam (usando engenharia social) ou subornam funcionários de serviços de telecomunicações para portar o número de telefone de um alvo para seu próprio cartão SIM. Esse tipo de ataque é rapidamente percebido, pois a vítima perde totalmente o serviço do celular;
ataques SS7 - que são ataques cibernéticos que exploram vulnerabilidades no protocolo SS7 de forma a comprometer e interceptar comunicações de voz e SMS na rede celular. Tudo o que um invasor precisa para lançar um ataque SS7 com sucesso é um computador executando Linux e o SS7 SDK – ambos gratuitos para download da Internet . Uma vez conectado a uma rede SS7, o invasor pode atingir os assinantes na rede enquanto engana a rede fazendo-a pensar que o dispositivo invasor é na verdade um nó da rede.
As falhas e vulnerabilidades inerentes ao protocolo SS7 estão fora da jurisdição de empresas e consumidores. Sendo assim, as vulnerabilidades do SS7 não podem ser simplesmente removidas ou corrigidas;
burlar os procedimentos de um serviço de SMS comercial - que permite às empresas enviar lembretes, alertas, confirmações e campanhas de marketing por SMS, de forma a redirecionar as mensagens de um alvo para o invasor. Esse vetor de ataque é extremamente negligenciado e utiliza principalmente as lacunas na regulamentação dos serviços de SMS comerciais, com um invasor muitas vezes sendo capaz de atingir seus alvos apenas informando – falsamente - que tem o consentimento do alvo, uma vez que o provedor do serviço nunca confirma o consentimento com o usuário alvo;
uso de páginas falsas que imitam serviços reais para obter o código 2FA via SMS -
Esse é um processo mais elaborado, que implica em levar o usuário primeiro a entrar na página falsa e após o processo inicial de autenticação ( login com conta e senha), redirecionar esses dados para o serviço real para que ele envie o código 2FA via SMS para o alvo. Ao mesmo tempo, o invasor apresenta, na página falsa que o usuário está acessando a solicitação do código 2FA enviado pelo serviço real. Quando o alvo informa o código 2FA na página falsa, o invasor passa a ter todos os componentes necessários para continuar seu ataque.
Textos: João Alberto Muniz Gaspar
Produção: Secretaria de Segurança da Informação e Cibernética
Comments