Seja por motivos profissionais ou pessoais (ou ambos), espero que você saiba o que é e inclusive esteja usando a autenticação de dois fatores – também conhecida como autenticação em duas etapas, verificação em duas etapas e 2FA, a sigla em inglês para two-factor authentication.
Como o nome já diz, a autenticação de dois fatores consiste em exigir do usuário um segundo método de autenticação para confirmar a própria identidade e aumentar a segurança no acesso a e-mails, sites, aplicativos, redes sociais, dispositivos, etc. Isso evidentemente reduz o risco de fraude, já que só ter o login e senha na teoria não seria suficiente para o criminoso invadir uma conta – e ele daria de cara com a porta.
Esta camada extra de proteção evoluiu e continua evoluindo na medida em que os brasileiros adotam cada vez mais os pagamentos digitais. Ela pode funcionar através do envio de uma combinação numérica por SMS ou e-mail, via pen drive físico, por aplicativos que geram códigos únicos, via notificação por push e até por meio de reconhecimento facial, comando de voz, biometria…
Especialistas em cibersegurança consideram a 2FA uma arma eficaz para reduzir a chance de uma conta ser acessada indevidamente. Mas definitivamente não se trata da tão sonhada “bala de prata” contra esta ação criminosa.
O caso do Twitter
De acordo com a plataforma de segurança KnowBe4, existem “ao menos 12 maneiras de contornar os múltiplos fatores de autenticação” e “48% das violações não são evitáveis por autenticação multifatorial forte”. O pessoal de lá fez até um e-book e um webinar sobre isso – estão disponíveis aqui, em inglês.
De maneira geral, os estudos apontaram que a maioria das formas de hackear um sistema que usa camadas de proteção extra exige a combinação do conhecimento “técnico” do criminoso (como copiar fingerprints e explorar bugs e softwares desatualizados) com golpes de phishing e engenharia social.
Foi exatamente isso que aconteceu com o Twitter, num caso que repercutiu mundialmente em julho deste ano. Segundo informado pela própria rede social, “os responsáveis pelo ataque manipularam, com sucesso, um pequeno número de funcionários através de um golpe pequeno e direcionado de spear phishing e usaram suas credenciais para acessar os sistemas internos do Twitter, incluindo a proteção de dois fatores”.
Isso mesmo: nem a 2FA foi suficiente. “Usando essas credenciais, os invasores escolheram 130 contas do Twitter, publicando tweets de 45, acessando a caixa de entrada de mensagens diretas (DM) de 36 e baixando os dados do Twitter de outras 7”, acrescenta o comunicado da rede social.
O problema ganhou dimensões globais porque entre estas contas hackeadas estavam os perfis oficiais de personalidades como Bill Gates, Elon Musk, Barack Obama, Kanye West e Kim Kardashian. Num ato de bondade, todos eles prometeram devolver bitcoins em dobro a quem enviasse valores para o endereço anunciado no intervalo de meia hora.
Até as falsas mensagens serem apagadas, os criminosos conseguiram faturar mais de US$ 100 mil. Três jovens norte-americanos, um deles de 17 anos, são acusados de serem os mentores deste golpe que obrigou o Twitter a inclusive tirar do ar todos os perfis verificados da rede social por um período. O FBI comanda as investigações, e você pode saber mais sobre como a polícia chegou até os supostos hackers neste texto aqui publicado pelo site ZDNET.
SMS e ligações em desuso
Conforme os criminosos vão desenvolvendo formas de burlar a 2FA, algumas das camadas de segurança vão se tornando menos efetivas, como o envio do código por mensagem de texto ou mesmo por chamada telefônica.
No caso do SMS, o problema são golpes como SIM SWAP, a clonagem de chip, ou interceptação da mensagem, como mostra este vídeo publicado pela Forbes já há algum tempo. Nestes casos, obviamente são os criminosos que recebem a nova senha ou código numérico. Já no caso da ligação, muitas vezes o estelionatário precisa apenas de uma boa conversa para enganar as vítimas a ceder os dados.
Por falar nisso, os golpes de clonagem de Whatsapp, que dispararam em 2020 no Brasil, acontecem na maior parte das vezes a partir da ligação telefônica de um fraudador. Ele convence as pessoas a cederem um código de autenticação enviado por SMS que permite o acesso às conversas privadas a partir de outro dispositivo.
Não estamos querendo dizer que a autenticação de dois fatores é inútil ou não deve ser usada. Pelo contrário. Ela inclusive é a melhor maneira de evitar o próprio golpe de clonagem do “zap”, já que neste caso o criminoso, mesmo com a numeração do SMS, também precisaria desta segunda senha para entrar na conta.
Além do Whatsapp e do Twitter, o Facebook e o Instagram também oferecem o 2FA aos usuários. O mesmo se aplica a ferramentas como Zoom e Slack, cujo uso aumentou no Brasil em meio à pandemia. Gigantes como Apple, Google e Microsoft também têm camadas extras para o acesso de contas. Clique nos hiperlinks deste parágrafo para saber como habilitar em cada um, caso seja do seu interesse!
Para completar, bancos, instituições financeiras, carteiras digitais e fintechs estão encorajando os clientes a adotarem a verificação em duas etapas – aliás, aqui mesmo na Konduto a gente também usa.
Que a autenticação de dois fatores reforça a segurança das contas não se discute, mas, por outro lado, é fundamental ter em mente que ela não é a solução definitiva para todos ficarmos livres de qualquer tentativa de account takeover. O assunto inclusive foi amplamente debatido na terceira edição da Fraud Session, webinar da Konduto e da Emailage. Você pode assistir aqui!
