Bancos ao redor do mundo usam o SMS para enviar códigos temporários a fim de autorizar transações online. Esta autenticação por dois fatores deveria tornar o processo mais seguro; no entanto, hackers descobriram como roubar esses códigos, usando uma antiga brecha nas empresas de telefonia.

Em janeiro, ladrões interceptaram mensagens de texto enviadas por bancos na Alemanha explorando vulnerabilidades do SS7 (Sistema de Sinalização nº 7), segundo o jornal Süddeutsche Zeitung. Eles redirecionaram os SMSs enviados pelo banco e usaram os códigos para transferir dinheiro das contas.

O roubo é bastante sofisticado, e faz parte de uma estratégia maior. É preciso inicialmente usar malware tradicional para infectar o computador de correntistas e roubar a senha da conta bancária. Os invasores podem ver o saldo disponível, mas só podem realizar transferências com o código temporário recebido via SMS.

Aí entra o SS7. Trata-se de um protocolo de telefonia utilizado desde a década de 1980, que conecta mais de 800 operadoras em todo o mundo. É graças a ele que suas chamadas e mensagens de texto viajam através de diferentes redes, mesmo quando você está em roaming.

Infelizmente, o SS7 tem diversas vulnerabilidades. No ano passado, o deputado americano Ted Lieu pediu que dois pesquisadores alemães usassem o protocolo para espioná-lo, para uma reportagem de TV — e eles conseguiram. Hackers também podem assumir controle do SS7 para interceptar mensagens de confirmação do WhatsApp e Telegram, obtendo acesso à sua conta.

E, desta vez, o alvo foram bancos. “Criminosos realizaram um ataque a partir da rede de uma operadora estrangeira em meados de janeiro”, disse um representante da alemã O2 Telefonica ao Süddeutsche Zeitung. “O ataque redirecionou mensagens SMS enviadas a certos clientes alemães para os invasores.” A O2 bloqueou a operadora estrangeira (cujo nome não foi revelado), e avisou os clientes afetados.

Mais ataques virão

A maioria das redes SS7 não estão ligadas à internet. No entanto, segundo o jornal, um equipamento de € 1.000 (cerca de R$ 3.500) é o bastante para um hacker imitar uma operadora de telefonia — e assim pedir acesso a outra operadora via SS7. Também é preciso ter um software especializado, o número de celular do usuário, e a identidade do assinante.

Nada disso impediu os ataques recentes, e mais certamente virão. O método usado pelos hackers se chama SMS spoofing, e é extensamente documentado desde pelo menos 2013 — as operadoras já sabem do risco. O deputado Lieu propôs no ano passado que a FCC (equivalente americana à Anatel) consertasse o SS7, mas como o sistema é usado globalmente por inúmeras operadoras, isso será uma tarefa difícil.

Por isso, sempre que possível, use autenticação por dois fatores que não dependa de SMS, como o Google Authenticator. Alguns bancos também geram chaves temporárias direto no app para smartphone, em vez de enviar SMS.

Com informações: Ars Technica, ZDNet.