As mensagens enviadas com códigos de verificação são seguras?

Recentemente esqueci a minha senha de acesso do aplicativo online do meu banco atual. Abaixo, eu mostro o processo de redefinição da chave, realizado no navegador do meu smartphone:

1. Inserir a identificação
2. Digitar o número de um dos meus cartões de débito e seu código PIN
3. Solicitar envio de SMS para recebimento de código de verificação/confirmação
4. Receber o código de verificação via SMS para poder acessar o aplicativo e criar um novo código de acesso definitivo

O problema de enviar códigos de verificação via SMS

Como pode ser visto nas imagens anteriores (imagem 1) onde é mostrado o fluxo do processo, a etapa 4 onde o código de verificação é recebido, acontece com a tela bloqueada, ou seja, o código de confirmação pode ser visto por qualquer pessoa que o dispositivo móvel esteja próximo, sem a necessidade de saber como desbloqueá-lo .

Esse fato é considerado uma falha de segurança, uma vez que qualquer impostor que tenha em mãos o nosso dispositivo, ou que tenha em posse nosso chip (fraude conhecida como troca de chip), poderá acessar o código de verificação e assumir o controle de nossa conta bancária. A partir deste momento, podemos apenas «torcer» para que o banco tenha um mecanismo antifraude baseado em análise comportamental, e que seja capaz de identificar que quem está usando o aplicativo bancário é um impostor, e não o usuário legítimo.

É verdade que, para chegar a esse ponto, um impostor terá que fazer algum trabalho anteriormente, como coletar nossa identidade e saber o número do nosso cartão de débito e seu código PIN. No entanto, o roubo dessas credenciais está no dia a dia deles, e esse tipo de fraude é conhecido como phishing , vishing ou smishing .

Por que ainda usamos SMS?

De acordo com este relatório do Twitter sobre a segurança de suas contas de usuário, 80% dos usuários que usam um fator de autenticação duplo (2FA) para acessar sua conta o fazem enviando um SMS. O Twitter permite que você use outros métodos para implementar 2FA, como o uso de um aplicativo externo que você precisa instalar e a partir disto ele gera um código de verificação a cada vez ou o uso de uma chave de segurança, um dispositivo de hardware que se conecta a porta USB de um PC, e que substitui o código de verificação porque se supõe que apenas o usuário legítimo é o proprietário.

Dada a simplicidade do SMS em comparação com essas alternativas, pode ser razoável a ideia que a maioria dos usuários do Twitter pode preferir o SMS como método de recebimento do código de verificação porque, entre outras coisas, não envolve a instalação de um aplicativo externo, nem a aquisição de um dispositivo de hardware adicional. Além disso, todos os usuários sabem como funciona o SMS, não precisamos aprender a usá-los.

Poderíamos aumentar a segurança ao enviar SMS?

Como mostramos, o SMS é um método amplamente aceito entre os usuários para receber o código de confirmação, sua usabilidade e experiência do usuário (não obstante), o tornam a opção preferida. No entanto, sabemos que esse método está exposto a ataques de phishing, por isso, encontrar uma solução e proteger o SMS pode agregar muito valor aos usuários.

A partir do Laboratório de Inovação em Identidade, da Telefónica Tech na Marina de Valência, juntamente com os colegas especialistas da Mobbeel em soluções de verificação de identidade, desenvolvemos uma solução baseada no padrão FIDO2 Identity , que permite confirmar as transações do usuário, usando o envio de SMS de forma segura, Como?, introduzindo a biometria no meio do processo.

Como pode ser observado no passo 4 do esquema mostrado acima (imagem 3), substituímos o recebimento de um código de verificação enviado via SMS, pelo envio de um SMS que solicita nossa autenticação através da biometria que o usuário já possui. No dispositivo móvel; TouchID, FaceID ou padrão ou código de desbloqueio. Uma vez que o usuário tenha verificado sua identidade através da biometria no SMS recebido, ele pode continuar com a redefinição de sua senha no aplicativo.

SMS de verificação segura via biometria

Na Telefónica e na Mobbeel, fomos pioneiros na implementação do padrão FIDO2 para resolver um problema real que afeta a maioria dos usuários de produtos e serviços digitais. O envio de SMS seguro com base em biometria ajuda a evitar fraudes online provenientes de roubo de identidade. Desta forma, o uso de SMS para verificar as transações do usuário, torna-se seguro, não tendo mais riscos de que alguém com más intenções possa » ficar no meio «, e assim ter acesso às nossas contas.