Cuidado com a autenticação 2FA em serviços como o Gmail

Um relatório da Amnistia Internacional identificou uma série de esquemas de phishing relativos a serviços de e-mail.

Este artigo é gratuito como todos os artigos no Shifter.
Se consideras apoiar o nosso trabalho, contribui aqui.

Especialistas em cibersegurança recomendam que tenhas a autenticação de dois factores (também conhecida como 2FA) activada nas tuas contas online. É que muitas vezes só uma password, por mais complexa que seja, é insuficiente como garantia de que ninguém acede indevidamente aos teus dados. Num processo de login com 2FA, depois de inserires a password recebes um código por SMS para inserir também. Ou seja, na prática existem duas autenticações, o que reforça a segurança da conta.

No início até podes achar uma trabalheira ter de ter o telemóvel por perto sempre que queres fazer login, mas depois lá te habituas. E pelo reforço de segurança é uma boa ideia usar o 2FA – muito dificilmente te vão entrar numa rede social, numa conta de e-mail ou num serviço de pagamento. Contudo, nenhum sistema é infalível e é para isso que nos alerta esta notícia.

Um relatório da Amnistia Internacional identificou uma série de esquemas de phishing relativos a serviços de e-mail, direccionados a “centenas, se não milhares” de defensores de direitos humanos, jornalistas, actores políticos e outros em muitos países nas regiões do Médio Oriente e do Norte de África. Os atacantes – provenientes dos Emirados Árabes Unidos, Iémen, Egipto e Palestina – não só fabricaram páginas de login falsas que imitam, ao mais ínfimo detalhe, plataformas de e-mail encriptadas, nomeadamente Tutanota e ProtonMail; como também réplicas de serviços comerciais como o Gmail e o Yahoo Mail que revelam fragilidades na segurança dos sistemas de autenticação de dois factores.

A Amnistia criou contas de Gmail e Yahoo Mail para perceber o funcionamento dos sites de phishing que imitavam estes serviços e verificou que os atacantes não só conseguiam as suas passwords como o código de 2FA para acederem aos respectivos serviços de e-mail. Como? Enquanto a vítima pode pensar que está num processo de login normal, os servidores dos atacantes estão, nos bastidores, algures, a trabalhar para de forma automática e sem levantar suspeitas operacionalizarem os furtos.

Ou seja, quando as vítimas inserem o seu username e password no formulário de login malicioso, o sistema automatizado dos atacantes vai pegar nessas credenciais e inseri-las no formulário verdadeiro; depois, as vítimas com 2FA activo vão naturalmente receber um SMS da Google e, nas páginas de phishing, há um outro formulário falso para pedir esse código; por fim, o código 2FA é inserido no site verdadeiro. Os atacantes ficam com uma password entretanto gerada para manterem o acesso às contas de e-mail alvo destes esquemas, explica o site Motherboard.

Em 2015, a Yahoo lançou um sistema intitulado Yahoo Account Key que permite na mesma utilizar o telemóvel para autenticação no e-mail, só que, em vez de um SMS, os utilizadores recebem uma notificação na app do Yahoo Mail. Também o Facebook tem um sistema semelhante: se tiveres o 2FA activo, recebe uma notificação na app da rede social no telemóvel a perguntar por uma autorização. Já a Google oferece a app Google Authenticator como uma alternativa ao 2FA por SMS. De referir que a investigação da Amnistia não revelou fragilidades do sistema de 2FA por SMS, mas mostrou que este pode ser interceptado com alguma facilidade.

Investimos diariamente em artigos como este.
Precisamos do teu investimento para poder continuar.