Proteger uma conta com autenticação multifator (MFA) é óbvio, mas isso não significa que todos os métodos para isso sejam seguros.

Considere a autenticação por SMS, por exemplo, que nos últimos tempos tem sido prejudicada por vários ataques, bem como por fraudes de swap do SIM realizadas por usuários de dispositivos móveis.

Esta semana, pesquisadores do Certfa Lab disseram que detectaram uma campanha recente do grupo iraniano “Charming Kitten” (anteriormente acusado pelo hack de 2017 da HBO) que oferece o último aviso de que a autenticação por SMS não é a defesa que um dia já foi.

Os alvos dessa campanha eram indivíduos de alto valor, como funcionários do governo dos EUA, cientistas nucleares, jornalistas, defensores dos direitos humanos e funcionários de think tank.

A evidência da Certfa vem de servidores usados ​​pelos invasores que continham uma lista de 77 endereços de e-mail do Gmail e do Yahoo, alguns que aparentemente foram comprometidos, apesar de a verificação por SMS estar ativada.

Normalmente, não há a chance de investigar ataques que são tão segmentados quanto esse, e muito menos os que estão provocando os pontos fracos.

A campanha foi construída em torno da antiga ideia de enviar um alerta falso de um endereço aparentemente plausível, como notifications.mailservices@gmail.com.

O Google envia alertas de tempos em tempos, então algumas pessoas podem ser enganadas por isso, mas houve outros ajustes para aumentar ainda mais suas chances, como:

  • Hospedando páginas e arquivos de phishing em sites.google.com, um subdomínio do Google.
  • Enviando o alerta de e-mail como uma imagem clicável hospedada no Firefox Screenshot em vez de um texto de URL que pode atrapalhar o sistema anti-phishing do Google.
  • Rastreamento de quem abriu e-mails incorporando um minúsculo pixel “beacon” 1 × 1 hospedado e monitorado por um site externo (os profissionais de marketing usam essa técnica há anos, e é por isso que é uma boa ideia desativar o carregamento automático de imagens em programas como Gmail).

Desvio de SMS

Mas como vencer a autenticação?

É possível que os invasores verifiquem senhas e nomes de usuários em tempo real para ver se a autenticação foi ativada. Se fosse – e, presumivelmente, esse teria sido o caso da maioria dos alvos – uma página imitando o login da 2FA foi exibida.

Isso parece simples, mas o diabo está nos detalhes. Por exemplo, parece que os invasores também conseguiram descobrir os dois últimos dígitos do número de telefone do alvo, necessário para gerar um fac-símile das páginas de verificação do Google ou Yahoo SMS.

Enquanto a autenticação SMS OTP era o alvo principal, códigos TOTP (Time-based One-time Password) de um aplicativo de autenticação também eram direcionados.

De acordo com os comentários do Twitter da Certfa, os ataques contra a autenticação por SMS foram bem-sucedidos, o que não é uma surpresa, já que tudo que o invasor precisa fazer é phishing do código.

Quanto aos aplicativos de autenticação baseados em algoritmo de senha única (HOTP) baseados em TOTP e HMAC (ou seja, Google Authenticator), os pesquisadores têm menos certeza – como com o SMS, isso dependeria da rapidez com que os invasores pudessem capturar e inserir o código considerando a janela de tempo permitida.

Onde isso deixa 2FA?

Usar o 2FA de qualquer forma é melhor do que nada, mas o SMS não é mais a melhor opção se os usuários tiverem uma escolha – o Google, por exemplo, não oferece mais essa opção, a menos que tenha sido configurada em uma conta há algum tempo.

Em 2016, o Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA recomendou que os usuários planejassem mudar de SMS para métodos de autenticação mais seguros.

A opção mais segura é, de longe, usar um token de hardware FIDO U2F (ou o mais recente FIDO2), como o YubiKey, porque contorná-lo requer acesso físico à chave.

O Google até oferece uma versão especialmente aprimorada do Gmail, o Advanced Protection Program (APP), construído em torno desse tipo de segurança, com alguns recursos adicionais adicionados no topo.

Os gerenciadores de senhas são outra opção, pois eles preencherão automaticamente os campos de senha quando detectarem o domínio correto (consulte as advertências referentes às versões para dispositivos móveis). Se isso não acontecer como esperado, isso pode ser um sinal de que algo está errado.

Com informações do blog Naked Security, da Sophos.