 | Na semana retrasada recebi uma ligação de uma mulher muito amável dizendo que, há muitos anos, ela era a dona de um celular com o meu número atual. O problema, nesse caso, para ela, é que tenho esse número desde que as linhas de telefonia móvel foram lançadas no Brasil, ou seja, o número desta linha telefônica, com este exato número, devido a portabilidade, sempre foi meu. Expliquei isso a ela, que, de prontidão, disse que foi um engano, pediu desculpas e desligou. Recentemente li um tuíte que colocou luz sobre o assunto e penso que todos deviam saber disso. |
Acontece que a verificação em dois passos é o melhor sistema que temos para proteger nossa identidade na Internet -pelo menos até que as senhas deixem de existir-. Mas tem uma grande falha de segurança: a estupidez humana. Sim!
Vou explicar: suponhamos que você é um usuário mal intencionado e conseguiu a senha de sua vítima. Não foi muito difícil: costuma ser seu RG, sua data de nascimento, seu aniversário ou alguma estupidez como "asdfg" (era a minha em uma rede social que não uso muito). Ou talvez ele tenha descoberto a senha nestes vazamentos absurdos que acontecem de vez em quando. A questão é que por fim ele sabe a senha, mas a vítima tem um segundo fator de autenticação, neste caso, um código de verificação via SMS. Como conseguir esse código? Com amabilidade e poucos escrúpulos:
Hacker: - "Oi, desculpe, sem que não me conhece, mas faz muitos anos eu tinha esse mesmo número. Estou tentando me registrar em uma conta velha que segue vinculada [a este número], mas me diz que vai enviar um código de verificação. Gostaria de saber se posso solicitar o código SMS e se você poderia me fazer a gentileza de dizer qual é? Oh, se não puder, não há problema, mas é que nessa conta tem algumas fotos antigas que eu não tenho mais."
Vítima: - "Sem problemas."
Hacker: - "Muito obrigado...mesmo! Acabo de solicitar."
Vítima: - "2-0-9-9-5-9."
Hacker: - "Cara, salvou a minha vida. Muito obrigado e me desculpe o incômodo."
Vítima: - "De nada. Quê isso..."
Facinho facinho... O que acabamos de ver é um exemplo flagrante de engenharia social, a prática de obter informação confidencial mediante a manipulação do usuário. No contexto da segurança informática, o usuário costuma ser ademais o fator mais débil do sistema, porque é estúpido e manipulável.
Mas chegar a este caso implica que se cumpriram várias condições, como conhecer sua senha principal e seu número de telefone, que também não é nada difícil de descobrir (mas que não vamos falar como, para evadir os lammers). Ademais, o código numérico é temporário e costuma caducar em poucos minutos, motivo pelo qual a conversa tem que ocorrer em tempo real.
No entanto, é um exemplo que pode servir para roubar qualquer coisa: uma conta do Google, do Facebook, do Twitter... Na maioria dos casos, a mensagem enviada por estas companhias quando você ativa a verificação em dois passos diz algo como "seu código de verificação é 123456", sem especificar o usuário ou o e-mail. Ninguém sabe se é um código para abrir sua conta. Por isso dá tanto medo.
Solução? Enquanto os computadores e celulares não incorporarem sistemas biométricos o único jeito é criar senhas "fortes", misturando letras maiúsculas com minúsculas, números e sinais, que nem você consegue lembrar, mas que nesse caso pode guardar em uma planilha ou documento do Word com a senha "QWERTY". Oops!
O MDig precisa de sua ajuda.
Por favor, apóie o MDig com o valor que você puder e isso leva apenas um minuto. Obrigado!
Meios de fazer a sua contribuição:
- Faça um doação pelo Paypal clicando no seguinte link: Apoiar o MDig.
- Seja nosso patrão no Patreon clicando no seguinte link: Patreon do MDig.
- Pix MDig ID: c048e5ac-0172-45ed-b26a-910f9f4b1d0a
- Depósito direto em conta corrente do Banco do Brasil: Agência: 3543-2 / Conta corrente: 17364-9
- Depósito direto em conta corrente da Caixa Econômica: Agência: 1637 / Conta corrente: 000835148057-4 / Operação: 1288
Faça o seu comentário
Comentários