Get best of the week

Por que a autenticação por SMS é ruim e como se proteger contra roubo de cartão SIM

Olá Habr! Em um artigo anterior, abordamos o tópico de que a autenticação por SMS não é a melhor maneira de autenticação multifator. Este método é usado por muitos serviços da Web: redes sociais, clientes de email, sistemas de pagamento. Além disso, o número de telefone é usado como logon: para registrar o VKontakte, no Telegram, e assim por diante. 

Se o cartão SIM for roubado e o SMS for interceptado, as consequências serão desastrosas. Muitos usuários correspondem em mensageiros com colegas e parceiros, portanto, não apenas os dados pessoais, mas também os dados corporativos estarão em risco. Se sua empresa não usa uma infraestrutura corporativa para comunicação, contas de funcionários desprotegidas comprometem os negócios. Portanto, vale a pena cuidar da segurança com antecedência.

Neste artigo, pegaremos alguns serviços populares e substituiremos a autenticação por SMS por métodos mais seguros. Ao mesmo tempo, descobriremos como proteger ainda mais as contas contra roubo e dormir em paz.
O artigo foi inspirado no MyCrypto longread, dedicado ao SIMJacking (SimJacking). Estudamos suas recomendações e compilamos uma lista atualizada para a Rússia. 


Por que se livrar da autenticação SMS


Os invasores podem receber SMS e fazer login na conta de outra pessoa de várias maneiras ao mesmo tempo:

  1. Se você conseguir um telefone com um cartão SIM dentro. 
  2. Se você reemitir o cartão SIM usando documentos falsos. Os fraudadores compram dados de passaporte mesclados e forjam uma procuração ou até o próprio passaporte. Se o operador envia documentos para inspeção ao serviço de segurança depende do fator humano. 
  3. Se o cartão SIM for roubado em conluio com a equipe do operador.   
  4. Se eles interceptarem o SMS usando vulnerabilidades no próprio cartão SIM ou no telefone.

O segundo e terceiro métodos são os mais massivos. O perigo é que a vítima não entenda imediatamente que Simka foi roubado. Um golpista tem todas as chances de ganhar dinheiro antes que você perceba o problema e consiga recuperar o acesso ao seu cartão SIM. 

Por que sinais está claro que Simka foi roubado:


  • O operador envia SMS para substituir o cartão SIM.
  • A rede da operadora desaparece no telefone, a reinicialização não ajuda.
  • Chegam cartas pelo correio sobre tentativas de redefinir a senha em diferentes serviços.
  • Um ID da Apple ou uma Conta do Google começa a solicitar uma senha.
  • Chegam mensagens sobre como vincular uma conta a um novo dispositivo.

  • Se as mensagens push forem usadas em algum lugar para autenticação de dois fatores, os códigos de serviços diferentes começarão a aparecer. 

Como evitar o roubo de um cartão SIM


  • , -, , , ( ).
  • , SIM- . « ».
  • /Face ID.
  • , . « » -, - . .   

, -   


Se o cartão SIM já tiver sido roubado, você não terá mais que um dia para bloquear. Portanto, você precisa manter um script de bloqueio rápido à mão:

  • pense em uma maneira de ligar para a operadora se você perdeu o telefone, por exemplo, de um laptop ou tablet. Por exemplo, instale o Skype ou Viber lá;
  • reabastecer saldos para chamadas;
  • encontre o número do seu operador móvel e escreva-o no registro do Skype ou Viber;
  • Ensaie a perda do telefone: remova o cartão SIM e tente ligar para o operador das maneiras selecionadas. 

Como se livrar da autenticação SMS e proteger contas 


Nossa recomendação geral é desativar a autenticação por SMS sempre que possível. Vamos ver como fazer isso em serviços da web populares. 

Primeiro, considere aqueles que usam autenticação por SMS. E então protegemos aqueles onde o serviço em si está vinculado a um número de telefone.

conta do Google


  1. Googl «».
  2. « Google» . .

  3. .
    , . 
    • : .
    • : , .
      , . -.
    • Google authenticator: , .
      , .
    • Google: push-   . 
    • : . , USB- Google-, , Bluetooth Google-. , , , . « ».

  4. , . , push-, ( - ).


  5. : . , . - .



  6. https://myaccount.google.com/security



    • : , . , .
    • : ,
    • : . , .
    • Maneiras de verificar sua identidade - endereço de email de backup : remova o endereço de backup. 


    • Seus dispositivos : remova todos os desnecessários.


    • Aplicativos de terceiros com acesso à conta : exclua todos os aplicativos que você não está usando. 


    • Faça login com sua Conta do Google : exclua tudo o que você não usa.
    • Acesso a contas vinculadas : no caso de uma invasão de conta, é possível simplificar o acesso a outros sites por um invasor. Exclua tudo.
    • Gerenciador de Senhas : transfira senhas para um Gerenciador de Senhas separado. Desative senhas de salvamento automático.



Yandex


Na conta Yandex, não há como habilitar a autenticação de dois fatores sem a associação de números. Portanto, usaremos o "número secreto" e incluiremos outros fatores em outros lugares.

  1. « ».



    • : (. )
    • : . .
    • : . , . 



  2. : « ». 


  3. " ". « ».


  4. Vá até Caixas postais e números de telefone. Remova os endereços de recuperação.


  5. Vá para as configurações do Yandex Money na guia "senha".
    Aqui passamos pelos três botões.



    • Emita códigos de emergência : reescreva e salve os códigos de emergência, exatamente como você fez para sua conta do Google.


    • Vá para senhas no aplicativo : selecione "aplicativo com senhas" e sincronize com um dos aplicativos.


    • Clique em Sempre pedir senha.



Agora, da mesma maneira, proteja TODOS os serviços que podem usar a autenticação SMS. 

Se possível, substitua-o ou anexe-o a um "número secreto" e adicione uma entrada de impressão digital.

Aqui está uma lista de serviços em ordem de prioridade:
Pessoal:
  • .
  • : , . . 
  • : LastPass, 1Password . .
  • : iCloud, Dropbox, OneDrive . .
  • : Mail.ru . .
  • : Vk, Facebook, Twitter, Instagram, LinkedIn, Medium . .
  • : iMessage, Skype, Slack, Facebook Messenger   . .
  • : iCloud, Google Photos . .
  • : Evernote, Scribd  . .
  • : Reddit, Stackoverflow . .
  • - . .

:
  • Repositórios do código fonte : Github, Bitbucket, Gitlab, etc.
  • Hospedagens e plataformas para sites : Parking, Wordpress, AWS, Microsoft Azure, Digital Ocean, etc. 
  • Rastreadores de tarefas, CRM e outras plataformas de trabalho : Jira, Mailchimp, Trello, etc.

Telegrama


A conta do messenger está vinculada a um número de telefone; portanto, além da autenticação de dois fatores, configuraremos proteção adicional. 

  1. Defina sua senha e login de impressão digital: vá para Configurações de segurança e selecione a senha e toque em id.


  2. Ocultar o número de telefone: nas configurações de segurança, localize Privacidade e defina o número de telefone como "ninguém". Desative as chamadas aqui. Adicione apenas exceções às pessoas em quem você confia.


  3. Habilite a autenticação de senha de dois fatores. Não use o email principal para recuperação.




  4. Vá para Dispositivos e feche todas as sessões ativas que parecem suspeitas.



Todas essas medidas não protegerão totalmente contra roubo de cartões SIM, mas não permitirão jackpots para golpistas. Se os usuários realizarem trabalhos remotos usando dispositivos pessoais e serviços da Web publicamente disponíveis, isso protegerá os dados pessoais e os dados dos colegas.

More articles:


All Articles