Exploit SS7 via SMS: um alerta para a adoção da autenticação com dois fatores

O Sistema de Sinalização 7 (SS7) é a linguagem padrão para envio de mensagens de texto (SMS) em todo o mundo. A tecnologia tem sido empregada em vários canais de comunicação há quase 40 anos, embora suas vulnerabilidades de segurança somente tenham sido divulgadas em 2008. Recentemente, as mensagens de texto passaram a ser usadas para enviar informações sensíveis, como senhas de uso único (OTPs), fazendo com que as questões de segurança deixassem de ser um desafio teórico e se transformassem em vulnerabilidades reais que permitem a ocorrência de fraude. Do meu ponto de vista, com a proliferação de outros métodos de autenticação com dois fatores, o SMS não deveria mais ser considerado um mecanismo seguro de autenticação.

Recentemente, umas dessas vulnerabilidades foi utilizada para contornar a autenticação bifatorial em vários bancos da Alemanha. Esses bancos usavam mensagens de texto para enviar OTPs que seriam usadas na verificação de transações virtuais. Os criminosos se aproveitaram das falhas de segurança da rede SS7 para redirecionar os SMSs dos telefones dos correntistas para números controlados por eles e, então, usavam o OTP para acessar e retirar recursos das contas online. 

Em 2012, a operadora de telefonia australiana Telco declarou que o SMS não era uma via segura para a realização de transações. O CEO afirmou que “o SMS não foi desenvolvido para ser um canal de comunicação seguro e não deveria ser usado pelos bancos para autenticar operações bancárias.” Em 2016, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) também alertou sobre questões de segurança envolvendo o SMS como parte de um sistema de autenticação com dois fatores.

Como sabemos, em geral, as redes de telefone não foram desenvolvidas para serem seguras. A rede SS7 foi criada para proporcionar a usuários em viagem uma experiência sem fricções, permitindo que eles realizem chamadas sem interrupções enquanto dirigem em uma rodovia ou fazem uma viagem de trem a trabalho. A adoção do SMS para transmissão de informações sensíveis é um exemplo perfeito de um padrão observado com frequência no campo da segurança: quando novos métodos de comunicação ou novos produtos são lançados, a experiência de usuário e a velocidade no lançamento acabam tendo mais prioridade que a segurança, considerada um obstáculo à competitividade.

Mesmo com todos os alertas de segurança dos últimos anos, o fato de não ter havido maiores prejuízos decorrentes das vulnerabilidades na rede SS7 fazia com que os bancos não se sentissem pressionados a abandonar o envio de informações sensíveis por SMS. O recente ataque na Alemanha mostrou que as organizações deveriam ter dado a devida atenção para esses alertas.

Algumas mudanças já podem ser vistas, e alguns países já começaram a criar normas para evitar que as organizações usem esse método de comunicação para o envio de informações sensíveis. Por exemplo, na Colômbia, a Circular 029, que define o que as empresas devem fazer para oferecer operações bancárias em dispositivos móveis, menciona especificamente que “informações sensíveis não devem, sob qualquer circunstância, ser conhecidas por redes de provedores de telecomunicações ou qualquer outra entidade que não seja a organização financeira que fornece o serviço por meio do canal transacional [no caso, SMS].”

A falta de alternativas viáveis sempre foi usada como desculpa para continuar usando mensagens de texto para o envio de informações sensíveis para os clientes, mas esse já não é mais o caso.

Alternativas ao SMS na autenticação com dois fatores
Hoje em dia, as senhas de uso único podem ser enviadas por vias alternativas, como mensagens de voz ou tokens software, sem afetar a experiência de usuário.

Além disso, usando notificações push, as empresas podem aumentar a segurança e melhorar a experiência de usuário. Essas tecnologias proporcionam um canal de comunicação criptografado e seguro, que é resistente a ataques. Uma notificação push pode ser enviada por meio de um aplicativo para o telefone do usuário, que aprova a notificação para comprovar sua identidade. É simples assim. 

Para aumentar ainda mais a segurança, a organização pode incluir outras camadas de autenticação, como mecanismos biométricos.

Na minha opinião, as empresas devem oferecer todos esses fatores alternativos de autenticação, além de um framework inovador de autenticação que possa ser implementado facilmente para os seus usuários finais e funcionários.

(*) Damien Hugoo é diretor de Marketing de Produtos da Easy Solutions