Antes considerado um sistema sofisticado de segurança, bem como um grande avanço no combate a fraudes em relação ao sistema de autenticação baseado em senhas, a autenticação de dois fatores começa a demonstrar suas vulnerabilidades. Logo, os fraudadores e cibercriminosos já desenvolveram técnicas para burlar o sistema One-Time Password (OTP), que é enviado através de SMS.

Confira, neste artigo, as funcionalidades do OTP SMS e veja como os criminosos estão aplicando golpes, roubando dados e recursos financeiros ao redor do mundo.

O que é e como funciona a tecnologia OTP SMS

Há alguns anos atrás surgiu a tecnologia OTP SMS, um grande avanço em relação à segurança da informação e ao fortalecimento das políticas de controle de acesso aos  bancos de dados, contas de e-mail, plataformas de internet banking e outros ambientes sensíveis.

Com o OTP através de SMS entrava, em funcionamento, a famosa autenticação de dois fatores. Que chegou ao mercado com o objetivo de maximizar a segurança dos indivíduos, impedindo a ação de hackers e o acesso de pessoas não autorizadas ao aplicativo, ambiente ou sistema. 

Basicamente, a autenticação OTP se encarrega de validar as tentativas de login, por meio do envio de um código único. Por exemplo, através de SMS, para o detentor das permissões de acesso adicionando mais um fator de autenticação, o famoso 2FA ou multifator.

Com a tecnologia, provedores de bancos de dados, serviços de e-mail, bancos e instituições financeiras, conseguem impedir acessos não autorizados facilmente. Afinal, sem o código único enviado via SMS, a tentativa de login ou até mesmo a confirmação de transações bancárias era prontamente negada. No entanto, com o avanço das técnicas de fraudes, efetuada pelos cibercriminosos, já não podemos considerar a autenticação de dois fatores via OTP SMS algo realmente seguro

Confira, no próximo tópico, a razão pela qual as autoridades de segurança da informação chegaram a essa conclusão. 

Como os fraudadores e cibercriminosos estão conseguindo burlar a autenticação de dois fatores?

Fraudadores e cibercriminosos perceberam, após um tempo, que poderiam burlar o OTP SMS utilizando uma técnica antiga e já conhecida: o SIM Swap, também conhecido como clonagem de chips de celular.

A clonagem de chip não é a única opção, visto que alguns cibercriminosos estão utilizando técnicas de Engenharia Social

O fator de maior preocupação é a quantidade de dados pessoais de brasileiros vazados nos últimos tempos. Pois acaba sendo uma mina de ouro para os cibercriminosos que utilizam de técnicas de phishing para obter tais dados.

A partir deste ponto, os fraudadores passam a receber os códigos enviados por SMS para a autenticação de dois fatores e, sem levantar suspeitas, obtêm acesso aos ambientes que deveriam ser absolutamente restritos aos seus titulares. O que chama a atenção é a forma pela qual eles conseguem colocar o SIM swap em prática, utilizando um artifício legal.

Não podemos esquecer que, ao concretizar a migração do número telefônico para o novo chip, o aparelho perde conexão com a operadora. Logo, os fraudadores passam a receber todos os SMS destinados às vítimas. Inclusive, os de autenticação de dois fatores via OTP SMS.

Com esta movimentação, serviços de pagamento ou outros, que fazem uso da autenticação de dois fatores via OTP SMS, podem ser facilmente acessados pelos fraudadores.

Como não ser vítima dos fraudadores que fazem uso do SIM swap para burlar o OTP SMS?

Para não ser vítima dos criminosos, especialistas em segurança indicam justamente a não utilização da autenticação por dois fatores via OTP SMS. Então, sempre que possível, utilize outros meios de autenticação mais seguros. Como a geração de OTP através de Push Notification, TOTP (Time-based One-Time Password) ou HOTP (HMAC-based One-Time Password). Que não tragam fricção no acesso dos consumidores, mas que, em contrapartida, proporcionam maior segurança nos acessos e transações realizadas. 

Todavia, somente isso não é suficiente! É importante adotar estratégias de análise comportamental do indivíduo e a identificação do DNA do dispositivo (celular, tablet e/ou computadores), além de usar o “fingerprint” (impressão digital).  Então, por meio desse conjunto de informações é possível determinar se o uso é legítimo ou fraudulento.

Por fim, cabe às operadoras de telefonia ou as empresas que armazenam dados pessoais de clientes, pensarem em estratégias de segurança. Para assim, impedir a ação dos cibercriminosos.

É preciso avançar e romper barreiras em meio a segurança digital, visando à proteção de dados e informações sigilosas de clientes. Assim, evitando ataques cibernéticos e violação de dados por parte de fraudadores e pessoas não autorizadas.