Hackers driblaram autenticação de dois fatores do Gmail para roubar conta

Por Redação | 03.11.2014 às 17:04
photo_camera Divulgação

A autenticação de dois fatores usada para aumentar a segurança em contas na internet é tida como mais segura ao usuário, garantindo mais obstáculos para que a conta possa ser sequestrada. Neste caso, além da senha, é necessário um código, normalmente encaminho via SMS ao celular cadastrado, para conseguir acessar o serviço.

Mesmo mais segura, a dupla autenticação pode ter seus problemas. O desenvolvedor Grant Blakeman postou no site Ello que sua conta do Instagram foi hackeada por meio da conta do Gmail, mesmo usando a autenticação de dois fatores. Segundo Blakeman, os hackers tiveram acesso ao seu Gmail e então roubaram a conta dele na rede social de fotos. O mais improvável é que os cibercriminosos conseguiram driblar a dupla segurança do programa de e-mail do Google, redefinindo a senha e roubando o controle da conta.

O jornalista Mat Honan, da revista Wired, passou por um problema semelhante e indicou que Blakeman entrasse em contato com a operadora de celular para entender o que poderia ter acontecido. Ele descobriu que o número de celular estava encaminhando as ligações e mensagens para um segundo número. Dessa forma os hackers pediram uma redefinição de senha do Gmail e, quando o Google mandou um código de confirmação por SMS, eles tiveram total acesso a conta, fazendo com que Blakeman perdesse o acesso.

A mudança no redirecionamento de ligações e mensagens do celular de Blakeman foi possível por meio de atendimento telefônico feito pela operadora. Neste caso, o cliente tem que responder algumas perguntas pessoais, mas nos Estados Unidos o mecanismo é facilmente contornado. "O ataque começou em minha operadora de celular, o que permitiu algum nível de acesso ou de engenharia social à minha conta do Google, que então possibilitou aos hackers receberem um e-mail de redefinição de senha do Instagram, dando-lhes controle da conta", escreveu ele.

Colaboradores do Hacker News afirmaram que isso é possível porque no país os atendentes recebem comissões de acordo com a satisfação do cliente, o que resulta em um constante problema entre experiência do cliente e cuidados com a segurança, como perguntar nome completo, endereço, número de documento, que pode ser considerado um procedimento não muito agradável para o cliente.

Com os contatos que possui, Blakeman conseguiu recuperar suas contas do Instagram e do Google. Ele conta que ativou novamente a verificação em dois passos, mas optou dessa vez por usar o aplicativo Google Authenticator para gerar os códigos necessários.

Mesmo que a verificação com dois passos seja mais segura, é preciso ter em mente que os golpes estão cada vez mais avançados e envolvendo criminosos mais dispostos a investir em diferentes meios para alcançar seus objetivos, como no caso de Blakeman, que foi vítima de uma dupla investida. Portanto, é bom lembrar que mesmo com mais segurança, o método não é infalível.

Fonte: http://gizmodo.uol.com.br/hacker-autenticacao-dois-fatores/