Não está com tempo de ler? Ouça este conteúdo.

Uma falha de design no protocolo SS7, que permite que operadoras de celular possam conversar umas com as outras, foi explorada para ganhar acesso a contas bancárias na Alemanha. Devido a ela, os criminosos conseguiram burlar o sistema de autenticação em duas etapas, fazendo com que a mensagem SMS que contém o código de acesso fosse entregue para outro telefone.

Falha em rede de celulares deixa brecha para ataques bancários (Foto: Lucas Mendes/TechTudo)Falha em rede de celulares deixa brecha para ataques bancários (Foto: Lucas Mendes/TechTudo)

Falha em rede de celulares deixa brecha para ataques bancários (Foto: Lucas Mendes/TechTudo)

Aplicativo do TechTudo: receba as melhores dicas e últimas notícias no seu celular

O SS7 (Signaling System 7) é um protocolo que deixa diferentes operadoras se comunicarem e compartilharem informações, como o monitoramento da posição de aparelhos, para garantir a entrega de mensagens SMS.

A comunicação, entretanto, não possui meios de confirmar a identidade de quem faz os pedidos de informação. Na prática, um hacker pode fingir ser o real destinatário do token de um banco, para usar essa informação na tentativa de acessar a conta.

No caso de hack ocorrido na Alemanha, os criminosos já possuíam outros dados bancários das vítimas, como nome de usuário, senha e número de telefone. A invasão da rede de telefonia foi usada para burlar a autenticação em duas etapas, um dos sistemas de segurança usados para confirmar a identidade da pessoa, mesmo que os outros dados fossem roubados.

A vulnerabilidade já era conhecida pelos especialistas, que há anos alertam para a possibilidade de um ataque que explore a falha do SS7. A correção, entretanto, nunca foi feita e um dos motivos para isso é a complexidade do problema. Como a quantidade de dados trocados pelas redes de telefonia é imensa, não basta simplesmente mudar as configurações do firewall.

“A solução para o SS7 envolve passos diferentes, não é só pedir algo e esperar até que ele apareça como que por mágica. Existe um grande número de regras de filtragem que precisam ser aplicadas”, explicou o cientista-chefe da Security Research Labs, Karsten Nohl, à revista Wired.

Outro cuidado necessário, segundo ele, é para evitar que estas medidas causem efeitos colaterais indesejados, como o bloqueio de comunicações legítimas. Essa solução também não é perfeita, mas é o que é possível fazer sem mudanças estruturais profundas, como a implementação de criptografia.

Como o problema ocorre na rede de telefonia, é quase impossível para o usuário comum se prevenir contra a falha. Entretanto, como o hack depende de os criminosos já possuírem outros dados de acesso, uma das recomendações é usar senhas fortes e únicas para garantir que elas não sejam descobertas. Outra dica é usar, se possível, serviços de autenticação em duas etapas que não sejam baseados em SMS, como aplicativos específicos, por exemplo.

O que fazer quando clicar em sites maliciosos pelo celular? Descubra no Fórum do TechTudo.

Sobre Gerência Imóveis

Única plataforma que conecta o proprietário à imobiliária e/ou corretor de imóveis com o foco em potencializar as vendas e torná-las mais seguras maximizando o tempo do corretor.