Ele achou que seu telefone estava seguro; Então ele perdeu US $ 24 milhões (cerca de R$100 milhões) para hackers, mostra Klefer.
11/11/2019 16h57
Por: Klefer
Pesquisadores de segurança concordam que, para a maioria das pessoas, adicionar autenticação de mensagens de texto é um grande passo do uso apenas de uma senha, mas que pode deixá-lo aberto a um ataque relativamente novo chamado troca de SIM.
A primeira dica de que Michael Terpin estava prestes a ter sua vida digital virada de cabeça para baixo – e perder um ganho inesperado de criptomoeda potencialmente avaliado em US $ 24 milhões – parecia um aborrecimento não digno de nota. O celular perdeu o sinal.
Mas o Sr. Terpin não estava dirigindo entre torres de celular. Ele estava trabalhando em uma mesa em sua casa em Las Vegas. Bem em Norwich, Connecticut, alguém tinha acabado de pegar seu número de telefone.
Em questão de minutos, os hackers começaram a tentar controlar suas contas do Gmail, usando o recurso de redefinição de conta “Esqueceu a senha?” Do Google. Com acesso ao seu número de telefone e e-mail, eles rapidamente conseguiram roubar milhões de criptomoedas de carteiras digitais que Terpin acreditava serem seguras.
On-line, os números de telefone estão lentamente assumindo as senhas como nossa última linha de defesa contra intrusões digitais. Como ficou claro que as senhas por si só não fazem o suficiente para manter os usuários seguros , as empresas de tecnologia têm adotado uma alternativa – o que chamam de um segundo fator de autenticação. Na maioria das vezes, esse segundo fator é uma mensagem de texto para o celular do usuário.
Em maio passado, o Google lançou uma pesquisa mostrando que, adicionando um número de telefone, os usuários poderiam bloquear a maioria dos tipos de ataques em suas contas.
Os pesquisadores de segurança concordam que, para a maioria das pessoas, adicionar autenticação de mensagens de texto é um grande passo em relação ao uso apenas de uma senha. Mas o Google também disse que, embora o uso de um número de telefone como camada de segurança parasse a maioria dos ataques direcionados, cerca de um terço deles ainda funcionava nos usuários do Google.
O Google disse que mesmo quando seus usuários adicionaram um número de telefone como camada de segurança, cerca de um terço dos ataques direcionados conseguiram obter sucesso.
Isso se deve em parte à troca do SIM, um ataque relativamente novo, em que criminosos roubam o número de telefone da vítima. Foi o que desfez o Sr. Terpin; e foi assim que os hackers conseguiram postar tweets racistas e anti-semitas no feed do chefe do Twitter, Jack Dorsey, em agosto.
As chances de alguém ser atingido por um ataque de troca de SIM são infinitesimais, mas as pessoas que investigam esses ataques as consideram as mais prejudiciais que já viram. Em sua corrida para equipar o júri do celular para solucionar os flagrantes problemas com a segurança de senhas, o setor de tecnologia pode ter criado outro risco a longo prazo.
Mesmo antes do incidente de Dorsey, as agências de aplicação da lei em todo o país têm visto um aumento nas queixas de troca de SIM, e os atacantes estão ficando mais organizados e mais hábeis em esconder suas pistas, disse Nick Selby, diretor de inteligência cibernética do Departamento de Polícia de Nova York.
Os swappers do SIM podem operar com precisão cirúrgica. Minutos depois de invadir a conta do Gmail da vítima, eles vasculharão as mensagens de e-mail antigas, procurando evidências de contas financeiras – contas de criptomoeda, com certeza, mas também mídias sociais, contas bancárias e até IRAs, disse Selby. Em Nova York, o NYPD agora está vendo vítimas cujas contas bancárias online foram comprometidas.
“A velocidade com que isso pode acontecer é espantosa”, disse ele.
Para obter seu número, os criminosos fingem ser você. Eles podem subornar funcionários ou entrar em lojas com um cartão de identidade falso ou dados roubados suficientes para induzir a operadora a colocar seu número em um telefone novo. (O termo “troca SIM” refere-se aos pequenos chips de “módulo de identidade do assinante” que o seu telefone usa para armazenar seu número.)
Em maio, as autoridades federais acusaram dois ex- funcionários contratados da AT&T , dizendo que os criminosos pagavam entre US $ 50 e US $ 150 por troca de SIM. As autoridades dizem que realizaram 41 trocas de SIM para um grupo de ladrões de identidade que se autodenominavam “a Comunidade”. Um terceiro homem, que trabalhou na Verizon, recebeu US $ 3.500 para fornecer aos trocadores de SIM as informações internas necessárias para responder a perguntas de segurança projetadas para proteger os usuários disseram os promotores a Klefer. A Verizon disse que demitiu o ex-funcionário e está trabalhando com a polícia na investigação.
Com o seu número de telefone sob controle, os trocadores de cartões SIM usam a ferramenta “Esqueci minha senha” em vários serviços online populares para assumir contas online. O Gmail geralmente é o primeiro, porque o Google normalmente permite que você redefina uma senha se você controlar o número de telefone associado.
Uma vez dentro de uma conta do Gmail, os criminosos bloqueiam você.
Uma vez dentro de uma conta do Gmail, os criminosos bloqueiam você. Isso significa alterar as configurações de segurança do Google para que a conta não possa ser redefinida por mensagem de texto quando você finalmente recuperar seu número. (As operadoras geralmente podem restaurar seu serviço em menos de uma hora.) Em vez disso, os criminosos usam o Authenticator, um aplicativo móvel sofisticado criado pelo próprio Google. Com o aplicativo, mesmo se você recuperar seu número de telefone, ainda poderá ficar bloqueado no seu Gmail.
O ataque é “super simples”, disse Allison Nixon para Klefer, pesquisadora da empresa de segurança cibernética Flashpoint.
Em 2013, os jogadores online foram pioneiros na troca de SIM como uma maneira de roubar prestigiadas contas do Twitter e Instagram. Às vezes, eles faziam isso por risadas, outras por dinheiro, disse Nixon a Klefer. Em 2016, alguns perceberam que poderiam ganhar muito dinheiro com o objetivo de entusiastas de criptomoedas, que geralmente eram grandes detentores de dinheiro digital.
Terpin, investidor e comerciante de criptomoedas, foi atingido em 7 de janeiro de 2018, no auge da mania de bitcoin. Os ladrões roubaram dele algumas criptomoedas menos conhecidas, que rapidamente trocaram por cerca de 1.500 bitcoins. Na época, o montante foi avaliado ostensivamente em US $ 24 milhões.
Aqui está a parte realmente assustadora: Terpin havia sido trocado por SIM sete meses antes. Ele teve sorte e não perdeu dinheiro naquele momento, mas tomou medidas sérias para impedir que isso acontecesse novamente. Ele havia consultado profissionais de segurança. Ele foi a uma loja da AT&T e adicionou à sua conta um recurso de segurança que exigia um PIN secreto de seis dígitos para fazer alterações. Ele removeu a autenticação de mensagens de texto onde podia, substituindo-a pelo Google Authenticator.
Terpin acredita que os funcionários de um revendedor autorizado da AT&T deram aos hackers o controle de seu número de telefone, e esses hackers encontraram um caminho para suas carteiras digitais invadindo contas que não podiam ser protegidas pelo Authenticator.
“Em uma escala de 1 a 10, eu diria que minhas proteções de segurança eram 9,8 ou superiores”, disse ele em conversa com Klefer. “Mas esses hackers, tudo o que eles fazem é sentar em um porão e descobrir maneiras de invadir as pessoas”.
“É lamentável que Terpin tenha experimentado isso, mas contestamos suas alegações”, disse um porta-voz da AT&T em uma mensagem de e-mail. (A empresa não disse quais alegações específicas contestou.) A empresa está trabalhando com autoridades, parceiros do setor e consumidores para combater a troca de SIM, disse ele.
A troca de SIM pode custar milhões, mas também é um ataque profundamente pessoal. Os investigadores da Equipe de Computadores Aliados da Polícia Regional, uma força-tarefa policial no condado de Santa Clara, disseram conhecer mais de 3.000 vítimas, representando US $ 70 milhões em perdas em todo o país. A maioria dessas vítimas estava com criptomoeda, disse Erin West, vice-promotora do condado, mas esses investigadores também viram trocas de SIM usadas para reunir fotos comprometedoras de extorsão e chantagem, disse ela.
As vítimas costumam ter vergonha de buscar acusações, disse West. “Você está acessando tudo sobre eles. Você está acessando os e-mails dos jogos de futebol dos filhos, mas também a disputa que tiveram com a irmã sobre a herança da mãe “, disse ela a Klefer. “É uma violação hedionda da privacidade.”
Enquanto isso, as operadoras de telefonia estão melhorando em sinalizar sinais de alerta e adiar contas que podem estar em risco, disse Selby, do NYPD. Mas algumas operadoras são melhores nisso do que outras, disse ele, e ele não acha que elas possam impedir isso completamente.
“O mais fácil é proteger as contas que são o objetivo final”, disse ele. “Você deseja proteger suas contas para não poderem ser redefinidas simplesmente porque alguém tem seu número de telefone”.
Veja como se proteger
Chegar ao coração da troca de SIM significa entender as diferentes maneiras de recuperar sua conta quando você esquecer sua senha. Quanto mais difícil você tornar as coisas para os trocadores de SIM, mais difícil será para você quando você perder o telefone ou esquecer sua senha. Essas etapas o levarão para mais perto de um estado de super segurança.
• Ligue para sua operadora e adicione uma senha na sua conta de telefone celular, e salve essa senha em um local onde você não a perca. (Se você é paranóico, ligue para sua operadora para ver se pode entrar na sua conta sem ela.) A AT&T oferece uma opção de “segurança extra” aqui.
• Obtenha um gerenciador de senhas como o Dashlane e verifique se você está usando senhas diferentes para suas contas diferentes.
• Experimente a opção “Esqueci minha senha” nas suas contas importantes e veja como elas funcionam. É provável que você descubra que muitas contas importantes – contas bancárias, por exemplo – podem ser redefinidas com pouco mais do que acesso ao seu e-mail; portanto, bloqueie-o primeiro.
• Se você deseja adicionar um fator adicional , tente adicionar uma chave de segurança como Yubikey ou Titan do Google . Muitas empresas que oferecem serviços on-line – do Facebook e Dropbox à Microsoft e SquareSpace – adicionaram suporte a elas , o que geralmente você pode encontrar nas configurações de segurança.
• Depois de ter um bom segundo fator em vigor (como o aplicativo Authenticator do Google ou uma chave de segurança), desative a autenticação do SMS sempre que possível. Esta é uma etapa complicada, pois é difícil recuperar se você perder o telefone ou a chave de segurança e nem todos os serviços on-line permitem, conta Klefer. Mas, se o fizerem, ele estará nas configurações de segurança da sua conta. Para o Google, acesse aqui .
Veja outros artigos de Klefer:
- Klefer mostra carro voador criado pela Porsche e Boeing
- Klefer fala sobre robôs no setor de Varejo
- Klefer fala sobre Amizade
- Klefer fala sobre a importância do Pensamento Positivo
