Cuidado com a autenticação 2FA em serviços como o Gmail

Um relatório da Amnistia Internacional identificou uma série de esquemas de phishing relativos a serviços de e-mail.

Especialistas em cibersegurança recomendam que tenhas a autenticação de dois factores (também conhecida como 2FA) activada nas tuas contas online. É que muitas vezes só uma password, por mais complexa que seja, é insuficiente como garantia de que ninguém acede indevidamente aos teus dados. Num processo de login com 2FA, depois de inserires a password recebes um código por SMS para inserir também. Ou seja, na prática existem duas autenticações, o que reforça a segurança da conta.

No início até podes achar uma trabalheira ter de ter o telemóvel por perto sempre que queres fazer login, mas depois lá te habituas. E pelo reforço de segurança é uma boa ideia usar o 2FA – muito dificilmente te vão entrar numa rede social, numa conta de e-mail ou num serviço de pagamento. Contudo, nenhum sistema é infalível e é para isso que nos alerta esta notícia.

Um relatório da Amnistia Internacional identificou uma série de esquemas de phishing relativos a serviços de e-mail, direccionados a “centenas, se não milhares” de defensores de direitos humanos, jornalistas, actores políticos e outros em muitos países nas regiões do Médio Oriente e do Norte de África. Os atacantes – provenientes dos Emirados Árabes Unidos, Iémen, Egipto e Palestina – não só fabricaram páginas de login falsas que imitam, ao mais ínfimo detalhe, plataformas de e-mail encriptadas, nomeadamente Tutanota e ProtonMail; como também réplicas de serviços comerciais como o Gmail e o Yahoo Mail que revelam fragilidades na segurança dos sistemas de autenticação de dois factores.

A Amnistia criou contas de Gmail e Yahoo Mail para perceber o funcionamento dos sites de phishing que imitavam estes serviços e verificou que os atacantes não só conseguiam as suas passwords como o código de 2FA para acederem aos respectivos serviços de e-mail. Como? Enquanto a vítima pode pensar que está num processo de login normal, os servidores dos atacantes estão, nos bastidores, algures, a trabalhar para de forma automática e sem levantar suspeitas operacionalizarem os furtos.

Ou seja, quando as vítimas inserem o seu username e password no formulário de login malicioso, o sistema automatizado dos atacantes vai pegar nessas credenciais e inseri-las no formulário verdadeiro; depois, as vítimas com 2FA activo vão naturalmente receber um SMS da Google e, nas páginas de phishing, há um outro formulário falso para pedir esse código; por fim, o código 2FA é inserido no site verdadeiro. Os atacantes ficam com uma password entretanto gerada para manterem o acesso às contas de e-mail alvo destes esquemas, explica o site Motherboard.

Em 2015, a Yahoo lançou um sistema intitulado Yahoo Account Key que permite na mesma utilizar o telemóvel para autenticação no e-mail, só que, em vez de um SMS, os utilizadores recebem uma notificação na app do Yahoo Mail. Também o Facebook tem um sistema semelhante: se tiveres o 2FA activo, recebe uma notificação na app da rede social no telemóvel a perguntar por uma autorização. Já a Google oferece a app Google Authenticator como uma alternativa ao 2FA por SMS. De referir que a investigação da Amnistia não revelou fragilidades do sistema de 2FA por SMS, mas mostrou que este pode ser interceptado com alguma facilidade.