sábado, 25 de maio de 2019

SIM Swap / SIM Hijacking - Você pode ser a próxima vítima

                   Salve salve galerinha marota, tudo bem com você ?
                   (Sim, ainda estou na fase de saudação de youtuber....)
                   No texto de hoje vou abordar este tipo de ataque contra nossa segurança e como é importante se defender para não ser a próxima vítima.

                   Esta semana fiquei sabendo o caso de um cara nos EUA que perdeu 100 mil dólares em Bitcoin ao sofrer um ataque SIM Swap. Isto me fez lembrar também dos recentes casos brasileiros envolvendo esta técnica de ataque, sendo o mais notório contra políticos brasileiros.
                    Basicamente o ataque Sim Swap se resume a clonagem de sua linha telefônica para que os bandidos possam forjar que são o dono da linha perante familiares, amigos e instituições, objetivando tirar proveito financeiro disso.
                    Como eles fazem isto ?
                    Eles podem forjar você, comprando um chip virgem e junto a operadora conseguir migrar a linha da vítima para este novo chip e a partir daí usar com Whatsapp e sistemas de autenticação de 2 fatores (2FA) como em sites do Google e outros. Esta forja, pode ou não ter a ajuda de alguém na operadora. E considerando que as vezes o atendente pode estar ajudando alguma quadrilha pois sofre ameaça sem não o fizer, ou o atendente ser parte da quadrilha por vontade própria, ou o atendente sofrer um sofisticado ataque de engenharia social e bla..bla..bla...enfim.
                    No nosso caso que somos investidores, o risco de comprometer nosso patrimônio é alto. Vou citar o meu caso, pois assim que fiquei sabendo da notícia revisei todas as minhas contas de e-mail quanto a segurança.
                    Eu vi que na 1a, o 2FA nem ativado estava. Corrigi isto.
                    Em outras 2, o 2FA estava ativado, mas o método de confirmação de identidade era por ligação telefônica, ou seja, o Google me passa um código adicional para que eu uso no momento do login do site deles. Aqui vem o perigo do ataque. O bandido que conseguir clonar meu número, conseguiria receber esta ligação do Google, e com o código acessar minha conta e a partir daí ganhar vários outros acessos.
                    Foi daí então que removi a autenticação por ligação telefônica e troquei pelo Google Autheticator. Agora, eu mesmo gero os meus códigos e não corro mais risco caso meu celular seja clonado.
                    Numa 4a conta de e-mail, estava ativado o método de confirmação de identidade por envio de SMS, ou seja, o Google me passa um código adicional por SMS e com ele eu me logo na minha conta. Novamente aqui temos um prato cheio para os hackers !
                     Novamente, retirei este método de autenticação e troquei pelo Google Authenticator.

                     Tá Poney, mas se eu perder o celular, e aí, não vou ter mais acesso a minha conta ? Calma "xovem", eu também adicionei o acesso por códigos de segurança, aquele cartãozinho com vários números diferentes que bancos como Bradesco e Itaú usavam no passado para a gente autenticar no site deles antes da era do aparecimento dos tokens físicos e por última agora, dos virtuais.


                Desta forma se eu tiver algum problema com o celular, posso ainda ter acesso a minha conta usando um dos códigos descartáveis do cartão.

                Vejam que este post foca totalmente na segurança de contas do Google, pois são as mais usadas e também as que mais oferecem recursos de segurança. Tem muito site por aí usando 2FA apenas na forma de SMS e sem opção para o Google Authenticator ou outro método. Para estas situação, eu lamento, ou a gente cobra destes sites que melhorem sua segurança, mas não vai ser da noite para o dia, mas o mais recomendável e não usar se possível.

                Segue agora o caminho para fazer as alterações na segurança de sua conta Google:

    1. Estando logado na sua conta Google, clique no ícone contendo sua foto no canto superior direito, "Conta do Google".
    2. No painel lateral direito, clique em "Segurança"
    3. Procure pela seção "Como fazer login no Google" e clique em "Verificação em 2 etapas"
              Sua tela após ser configurada como relatei acima, deve ficar assim:



           Vejam, esta é a MINHA sugestão para segurança de uma conta Google, sim É A MELHOR, porquê:

    1. Você tem um método de autenticação que não é sujeito a hackeamento remoto, como é no caso de SIM Swap com contas sendo autenticadas por ligação ou SMS
    2. Você tem um método alternativo de login caso o método principal seja comprometido (falta de bateria, perda do celular, roubo, etc)
            Perceberam na imagem que eu não ativei a autenticação por prompt no celular ? Esta autenticação é a uma forma de segurança adicional que não requer que você digite um código no site do Google para se logar, ao invés disso, quando você acaba de digitar a senha na conta do Google, aparece em seu celular uma tela perguntando se é você que está tentando acessar sua conta. Se você responder SIM, o acesso na conta é liberado, se responder não, o Google te avisará dos procedimentos necessários para rever sua segurança.

            Eu não ativei esta autenticação pois ela é a mais prática, mas é muito fácil que em um celular que não tenha o keyguard ativado (bloqueador de tela), esta tela de pergunta seja acessível a qualquer um com acesso físico ao celular e portanto a pessoa só teria que tocar no botão "SIM" para já ganhar acesso a sua conta.

            Por fim, vale a pena descadastrar qualquer senha salva / login feito em outros computadores a partir deste momento em que as alterações foram feitas.


            Isto fará com que daqui por diante, obrigatoriamente o acesso a sua conta terá que obedecer as configurações de 2FA que foram alteradas.

             Bora cuidar de mais segurança na sua conta ?

             Bons investimentos !

             Lambida do Poney !





6 comentários:

  1. Valeu as dicas, eu preciso mesmo melhorar e alertar parentes sobre esta prática dos hackers.
    ()'s

    ResponderExcluir
    Respostas
    1. Repasse ao titio, ao primo, a todos que puder.
      Quanto mais gente souber, menos chance de eles conseguirem algo e terá que voltar a investir numa nova forma de tentar conseguir algo.
      Se continuarem a tendo sucesso, dificilmente mudamos rápido esta situação.

      Excluir
  2. Poney, PQP! Dica fodástica. Já mudei tudo aqui. Muito obrigado!

    ResponderExcluir
    Respostas
    1. Criei uma tópico 'Segurança' e pûs este e outros artigos nele, facilitando para que a galera cuide da segurança de seus investimentos.

      Excluir
  3. Pow, eu estava por fora disso, pensei que as contas google só tinha a opção por sms.. vou mudar já !

    ResponderExcluir
    Respostas
    1. As contas do Google são as que mais dão opção ao usuário e isto é ótimo !

      Excluir