É uma boa prática de segurança ativar a autenticação em duas etapas nas suas contas: mesmo que alguém descubra sua senha, ainda será necessário ter um código adicional para acessar suas informações.

Em boa parte dos serviços, a autenticação em duas etapas funciona por meio de um código numérico registrado em aplicativos específicos, como Google Authenticator, Authy ou 1Password. Mas muitos ainda fornecem a verificação por SMS — e pesquisadores de segurança resolveram mostrar quão fácil é interceptar as mensagens de texto da sua operadora.

A Forbes publicou um video de um grupo de hackers da Positive Technologies (nome familiar, mas nada a ver com a empresa brasileira) mostrando como foi possível acessar uma carteira de bitcoin na Coinbase por meio da técnica de interceptação de SMS. O vídeo possui apenas três minutos:

Tudo começa quando os pesquisadores tentam recuperar a senha de uma conta do Gmail; eles obtém previamente alguns dados (como nome e sobrenome) da “vítima” e então solicitam um SMS com o código de recuperação, que é interceptado por meio de uma ferramenta. Depois que o Google confirma a identidade do usuário, é possível mudar a combinação da conta.

E, como tudo o que você precisa para atacar uma pessoa é o acesso aos e-mails dela, bastou entrar na Coinbase e acessar o “Esqueci minha senha”. O serviço de carteira de criptomoedas enviou um link de troca de senha, e a alteração foi realizada. Conta comprometida com sucesso.

Isso é meio assustador, mas é tão antigo que não sabemos por que as empresas ainda insistem em mandar dados importantes por SMS. A rede SS7 (Sistema de Sinalização 7), que é utilizada para gerenciar ligações telefônicas e mensagens de texto, tem falhas conhecidas (nem todas corrigidas pelas operadoras) e pode ser a causa de um ataque a uma conta online.

Ou seja, o SMS, além de não ser a coisa mais confiável do mundo (algumas mensagens minhas simplesmente nunca chegam; parece até que ficam retidas em Curitiba), é inseguro.

Vale lembrar que, no Google, você pode remover seu número de celular da autenticação em duas etapas. Recomendo.

Esse conteúdo foi útil?
😄 Sim🙁 Não

Receba mais sobre SMS na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Relacionados

Como proteger a conta do Fortnite com 2FA [autenticação em duas etapas]
Como proteger a conta do Fortnite com 2FA [autenticação em duas etapas]
Como ativar e desativar a verificação em duas etapas do Gmail
Como ativar e desativar a verificação em duas etapas do Gmail
Como ativar a verificação em duas etapas no Discord [2FA]
Como ativar a verificação em duas etapas no Discord [2FA]
Como ativar autenticação de dois fatores no Twitter sem usar o SMS
Como ativar autenticação de dois fatores no Twitter sem usar o SMS
Como habilitar ADF no PS4 [Autenticação em Dois Fatores]
Como habilitar ADF no PS4 [Autenticação em Dois Fatores]
O que é e como usar autenticação de dois fatores
O que é e como usar autenticação de dois fatores
O que é SMS Classe 0?
O que é SMS Classe 0?
WhatsApp está liberando autenticação via email na versão beta
WhatsApp está liberando autenticação via email na versão beta
Como não ser a próxima vítima de fraudes de SIM swap
Como não ser a próxima vítima de fraudes de SIM swap
Como reforçar a segurança da verificação em duas etapas
Como reforçar a segurança da verificação em duas etapas