Artigo
Dupla verificação é aliada da proteção de dados pessoais
Em tempos de LGPD, todo cuidado é pouco. A seguir, o engenheiro de software Rafael Vannucci sugere um mecanismo, simples e eficiente, que pode ajudar clientes e empresas, como as de telecom, a proteger os dados contra ataques hacker
6/09/2019
Com o crescimento do acesso à internet no país, hackers1 estão cada vez mais habilidosos na hora de roubar dados de pessoas físicas e jurídicas, em todo o mundo. A partir de técnicas de engenharia social, eles fazem uso da persuasão e exploram a ingenuidade e a confiança dos indivíduos para acessar os dados.
Por isso, várias empresas - sobretudo no âmbito internacional - têm se blindado de hackers e da engenharia social por meio da adoção da chamada autenticação em dois fatores, processo que obriga o usuário final a fornecer um código no momento do atendimento com a prestadora, via ligação telefônica, por exemplo.
A autenticação de senhas em duas etapas - ou 2FA (Two Factor Authentication) - é um mecanismo pelo qual, como o próprio nome sugere, é necessário mais que um componente para autenticar o usuário. A técnica, que é simples e gratuita, consiste em solicitar um código ou senha adicional para que o acesso a determinado serviço ou informação seja liberado. A autenticação 2FA já é adotada em contas on-line, redes sociais, serviços bancários e em outros serviços conectados.
Lacunas
O setor de telefonia, em especial, é naturalmente um alvo de hackers, devido à facilidade de realizar ataques e a não complexidade das ferramentas usadas nesses ataques. Uma amostra dessa facilidade foi dado pela pesquisadora Jessica Clark, durante a Defcon, uma das maiores conferências hacker do mundo: de posse apenas do nome da prestadora utilizada pelo indivíduo alvo, a pesquisadora consegue ligar - pelo número do alvo - e obter acesso total aos dados pessoais do mesmo.
O ataque simulado por Jessica Clark empregou engenharia social (via protocolo Signaling, para ligar pelo próprio número de telefone do alvo), mas é interessante comentar que também são comuns outros tipos de métodos, como o SIM swap, pelo qual o fraudador adquire um chip/SIM card, em branco, e ativa o número da vitima. Em posse da linha, ele consegue recuperar senhas de contas via SMS e até acessar mensageiros eletrônicos.
Há de salientar que algumas prestadoras, em outros países2, já usam mecanismos de dupla verificação para garantir a autenticidade entre empresa e cliente, sobretudo no momento do atendimento a este, onde informações pessoais e financeiras serão tratadas.
Acuracidade
Cada prestadora de serviço de telecomunicações do Brasil deveria, obrigatoriamente, incorporar mecanismos de validação em duas etapas, como forma de aumentar a acuracidade e a garantia de realmente estar prestando atendimento ao consumidor correto.
Um método de 2FA, que pode ser aplicado, é o usado pela operadora Norte Americana AT&T3, o qual consiste na configuração de um PIN de acesso, por parte do cliente final (assinante). Código esse que será solicitado em todo e qualquer contato com o fornecedor de serviços. A implementação no nosso país pode, inclusive, ser de forma gradativa, começando pelos membros dos conselhos de usuários, idealizados pela Agência Nacional de Telecomunicação (Anatel).
Sugestão do fluxo de uso: | Sugestão da implementação: |
1. Cliente entra em contato com a prestadora 2. URA solicita o código autenticador 3. Cliente insere o código usando o teclado numérico 4. Atendimento segue com acesso aos dados pessoais e financeiros |
1. Cliente atual recebe SMS solicitando ativação online ou em loja própria da prestadora |
Enquanto o ideal não chega
A solução, por parte das empresas, que garantiria ainda mais a proteção contra técnicas de engenharia social, como a citada anteriormente, seria o desenvolvimento de APIs. Essas APIs permitiriam o uso de aplicativos autenticadores -como Google Authenticator, ou app proprietário desenvolvido diretamente pela prestadora, como já ocorre com a Vivo que oferece o Vivo Token para iOS e Android - para captar e gerar os códigos que seriam aceitos durante o atendimento ao cliente. O uso de APIs seria um avanço, mas a verificação em duas etapas trata-se de uma solução intermediária interessante. E enquanto a solução ideal não chega, algumas atitudes, por parte dos indivíduos, podem diminuir o vetor desses tipos de ataques:
- Desativar a caixa postal: o consumidor pode entrar em contato com sua operadora móvel, e solicitar a desativação da caixa de mensagens. Isso ajudará a evitar ataques do tipo Spoofing.
- Entrar em contato com a operadora móvel e abrir um protocolo de atendimento, solicitando a confirmação pessoal com mais de uma fonte de dados.
- Buscar serviços que permitam o cadastramento de verificação em duas etapas, e optar por usar métodos como notificações push ou dispositivos/token físicos para autenticação.
Referências
1 https://oglobo.globo.com/economia/tecnologia/brasil-o-setimo-pais-com-mais-invasoes-de-hackers-confira-os-golpes-mais-comuns-23232268
2 https://www.verizon.com/support/residential/account/manage-account/security
3 https://www.att.com/esupport/article.html#!/my-account/KM1049472