O ataque no Twitter esta semana, que resultou na aquisição de uma série de contas de grande visibilidade, incluindo Bill Gates, Barack Obama, Elon Musk e Joe Biden, ilustra como pode ser fácil para golpistas assumirem as contas. Mesmo com várias camadas de segurança, as contas são vulneráveis aos backdoors que os fraudadores exploram.
Como ocorreu o ataque ao Twitter desta semana? Este será um estudo de caso para muitas sessões futuras de treinamento de segurança da informação. Houveram especulações de que o Twitter poderia ter sido vítima de outro ataque de SIM Swap, semelhante ao do ano passado, quando a conta no Twitter do CEO, Jack Dorsey, foi assumida. Além disso, no review feito por Brian Kreb do Who's behind Wednesdays Epic Twitter Hack os suspeitos de serem responsáveis pelo ataque desta semana são considerados uma conhecida gangue de SIM Swappers. Agora o Twitter declarou publicamente que o ataque desta semana foi o resultado de um ataque coordenado de engenharia social direcionado a funcionários com acesso a sistemas e ferramentas internas.
O SIM Swap e os ataques de engenharia social não são novidade. Entre outras técnicas, envolvem principalmente convencer funcionários de companhias telefônicas e outras empresas a permitir o acesso às contas através da redefinição de credenciais.
Os ataques de SIM Swap foram identificados já em 2014 como um veículo para fraudes e um vetor para o roubo de contas. No entanto, eles parecem estar ganhando força. Durante o caos de uma pandemia, as oportunidades para os fraudadores aproveitarem o caos só aumentam. Com sistemas, processos e pessoas sob tensão, o ambiente está propício para que os golpistas criem oportunidades.
O que é SIM swapping?
Um ataque de SIM Swap aproveita essencialmente a autenticação de dois fatores por SMS. Quando um usuário seleciona um SMS para autenticação de dois fatores, ele fornece um número de telefone para receber um código de acesso único via SMS. Este código deve então ser inserido para obter acesso à conta. Este número de telefone também é usado para enviar códigos de acesso para pedidos de redefinição de senha.
O SMS baseado no 2FA pressupõe que o usuário possua as credenciais de login corretas e está de posse do telefone utilizado para receber o código de acesso único.
Parece simples não? Infelizmente os fraudadores descobriram como explorar o 2FA utilizando engenharia social para entrar em contato com a companhia telefônica ou empresa detentora das credenciais de autenticação, e solicitar que o número de telefone original fosse redirecionado para um novo número de telefone sob o pretexto de ser o usuário real com um novo telefone celular. Este é o ataque de SIM Swapping. Com o número de telefone agora transferido para o número do fraudador, e com o fraudador agora em posse de credenciais roubadas, este então pode obter acesso a uma conta, desligar o 2FA e redefinir as credenciais.
Diretrizes do NIST no 2FA via SMS
O NIST (National Institute of Standards and Technology), órgão responsável pela regulamentação de tecnologias nos Estados Unidos, identificou o SMS como um método restrito para autenticação de dois fatores em suas diretrizes 800-63 de Identidade Digital, porém ainda é um método de 2FA comumente utilizado e oferecido aos usuários. O NIST recomenda que indicadores de risco de troca de dispositivo, mudança de SIM, portabilidade de número ou outro comportamento anormal sejam considerados antes de usar este método para autenticação.
Por que o 2FA via SMS ainda está em uso?
Dada a cautela das diretrizes do NIST quanto ao uso do 2FA baseado em SMS, por que este método ainda é comumente disponibilizado e utilizado?
A realidade é que o 2FA via SMS é uma das formas mais fáceis de um usuário compreender o 2FA
Muitas outras formas de 2FA não são fáceis de usar para o todos os usuários. O uso de um aplicativo de autenticação, como o Google Authenticator por exemplo, requer o registro de uma conta e a digitalização de um QR code. As chaves de segurança requerem registro em cada conta e também criam momentos de tensão quando você está sem sua chave. Embora o 2FA usando SMS possa ter vulnerabilidades, muitos argumentam que ainda é melhor do que apenas uma senha.
Como detectar os ataques de SIM Swap?
O desafio na detecção de ataques de SIM Swap é garantir que qualquer pedido de alteração de um número de telefone vinculado a uma conta esteja sendo feito por um usuário legítimo. Os esquemas de engenharia social são todos baseados em convencer alguém que tem acesso a uma conta a revelar informações que podem ser usadas para assumir a conta.
Quando um fraudador pode fornecer as respostas corretas às perguntas baseadas no conhecimento, então o que mais pode detectar um comportamento fraudulento? A chave para a resposta é a palavra, comportamento.
A biometria comportamental é uma forma de autenticação adaptativa que é capaz de atribuir uma pontuação de risco com base na adesão ou desvio do comportamento do usuário baseado no histórico. A biometria comportamental é baseada unicamente no comportamento do usuário versus credenciais estáticas que são rotineiramente violadas e roubadas. Há muitos tipos de comportamento do usuário que são usados para avaliar a fraude, incluindo endereço de IP, geolocalização, hora do dia, tipo de transação, movimentos do mouse e forma de digitação em telas. Qualquer desvio do comportamento normal seria um indicador ou um aumento do risco de fraude. Nosso produto Incognia oferece detecção de fraude por biometria comportamental usando o comportamento de localização, que é o sinal de comportamento mais potente para um usuário móvel.
Como o ataque do Twitter poderia ter sido impedido?
Tomemos o exemplo de um fraudador que foi bem sucedido em sua engenharia social ou ataque de SIM Swap em uma conta do Twitter. O fraudador está agora entrando na conta de Joe Biden (por exemplo) e inseriu com sucesso as credenciais corretas e inseriu o código de autenticação correto recebido em seu telefone. É aqui que a biometria comportamental de localização entra em ação. Analisando o histórico de comportamento de localização (ou fingerprint de localização) para o usuário, ele não irá corresponder no novo dispositivo. A partir do primeiro login, a localização do dispositivo fraudador será uma anomalia e será sinalizada como de alto risco e exigirá verificações de segurança adicionais antes de prosseguir com o login. No caso de um novo dispositivo, a exigência de estar em um local confiável deve ser uma condição.
Lições aprendidas com o ataque do Twitter?
A engenharia social e os ataques de SIM Swap são eficazes, pois se aproveitam do fato de que as pessoas são enganadas para entregar informações e acesso às próprias contas. A adição de biometria comportamental para autenticação baseada em risco é uma arma poderosa contra os fraudadores. Ter a proteção extra da biometria comportamental para verificar o comportamento atual do usuário contra o histórico de comportamento do usuário, poderia ter ajudado a evitar o ataque desta semana.
________________________________
Saiba mais sobre Incognia, a nossa solução de biometria comportamental por localização.
