Carteiras de cripto são suscetíveis a hacks em celulares; veja como se proteger
Com o surgimento de autenticação de dois fatores (2FA) que usam números de telefone para acessar contas de e-mail e dinheiro virtual, o hack a celulares é uma forma de roubar fundos de carteiras on-line de criptoativos.
Com o controle de um número de celular, um hacker pode comprometer qualquer processo de autenticação de dois fatores que usam SMS e uma série de hacks a celular contra membros da comunidade cripto, resultando na perda de milhões de dólares em bitcoins e outros criptoativos.
Alguns antigos ataques visavam alguns capitalistas de risco, CEOs e até um executivo da corretora Coinbase. Block Pierce, cofundador da Blockchain Capital, foi hackeado enquanto estava sendo entrevistado para o podcast de blockchain da Forbes, Unchained, em 2017.
Pierce contou a Laura Shin: “em meus discursos públicos, alerto pessoas sobre a importância da autenticação de dois fatores e que precisaremos de uma autenticação de três fatores ou um dispositivo distinto porque é muito fácil roubar os números de celular das pessoas — mas meu número de celular não estava em meu nome, então eu senti que estava seguro”.
Ele não estava. Outros, hesitantes em falar por conta do medo de ser novamente uma vítima de hacks parecidos, tornam difícil saber exatamente o número de incidentes.
Embora nem todos que foram alvo sofreram perdas financeiras, outros perderam entre milhares a milhões de dólares. Essas transações são irreversíveis, deixando vítimas sem uma opção para recuperar seus fundos.
Tudo isso é uma grande questão de segurança para fornecedores de carteiras como a Coinbase e outros, dado que estão armazenando centenas de bilhões de criptoativos.
Embora a Coinbase afirme que todos os criptoativos que detêm são assegurados, a cobertura explicitamente não se estende às contas individuais de um usuário. É responsabilidade do detentor da conta, diz a empresa, de “usar uma forte senha e manter controle de suas credenciais de login”.
Um estudo realizado pelos hackers benevolentes da Positive Technologies revelou que conseguiram acessar e “zerar” uma conta da Coinbase ao alavancar as vulnerabilidades na rede global de telecomunicações conhecidas como Signaling System Nº. 7 (SS7).
SS7 é uma rede usada por fornecedores de telecomunicações para monitorar o fluxo de informações como mensagens de texto para cobrança precisa.
Quando pesquisadores da Positive Technologies descobriram os endereços de e-mail ligados a uma carteira específica, hackearam a rede SS7 e interceptou um código de autorização por SMS enviado pela Coinbase, permitindo que mudassem as configurações e senhas da conta de carteira.
A facilidade de hackear um telefone demonstrada pela Positive Technologies destaca vulnerabilidades na rede global de telecomunicações, usada por todos os operadores de celular.
Além disso, hacking não é a única forma de obter acesso a SS7, pois cibercriminosos são conhecidos por comprar ilegalmente seu acesso no mercado ilegal. Explorar falhas no SS7 não é a única forma que hackers “limpam” contas on-line de criptoativos.
Segundo um artigo publicado pelo New York Times, hackers nos EUA assumiram a identidade do detentor de uma conta e contatou fornecedores de serviços para celular para ter um número migrado para um aparelho sob seu controle.
Com poucos processos, parece que hacks a celulares não vão acabar tão cedo. Segundo a Comissão Federal de Comércio (FTC), incidentes nos EUA de roubo de identidade via hack a celulares aumentam significativamente a cada ano.
Esses incidentes não são especificamente do hack a carteiras digitais, mas também incluem outras fraudes como a obtenção ilegal do acesso a contas bancárias tradicionais e negar acesso a informações vitais em ataques estilo ransomware.
Hacks não têm envolvimento com alta tecnologia. Na verdade, qualquer cenário em que um profissional de atendimento ao cliente verifica a identidade de alguém via celular também apresenta um possível risco, já que não é comum que esses profissionais violem protocolos de segurança se um ligador for convincente o suficiente.
Até agora, essas fraudes foram realizadas em diversas operadoras de celulares.
Especialistas de segurança dizem que há alguns passos a serem tomados por detentores de contas para minimizar seu risco de serem hackeados.
1) Leve a privacidade a sério. Falar abertamente sobre criptoativos no Facebook ou no Twitter podem tornar usuários em um alvo fácil de hackers.
2) Realize uma vistoria de privacidade em sua identidade on-line e remova endereços (de e-mail e residenciais), números de celular e datas de nascimento de perfis nas redes sociais já que são as perguntas-padrão de segurança para empresas de telefonia móvel, cartões de crédito e bancos.
3) utilize um aplicativo de algoritmo de senha única baseada em tempo (do inglês “ Time-based One-time Password Algorithm”, ou TOTP) para autenticação. Apesar de ainda usarem o processo de autenticação de dois fatores, TOTPs são mais seguros do que simples códigos de SMS de dois fatores, já que são ligados a um dispositivo físico específico, e não apenas a um número de celular, que pode ser comprometido em um hack.
4) Crie atrasos em transações. A Coinbase, por exemplo, permite que usuários deixem o dinheiro em um cofre — saques que podem ser cancelados até 48 horas após a transação.
5) Mantenha consciência situacional e aja imediatamente se receber confirmações inesperadas de uma mudança de senha para qualquer uma de suas contas.
6) Deixe seus ativos off-line e considere soluções em hardware como Ledger Nano S, que exige que usuários digitem um número de identificação pessoal (PIN) antes de realizar transações.
7) Familiarize-se com o processo de congelamento rápido de contas em qualquer corretora que você transacionar.
Clique aqui para saber qual o melhor tipo de carteira para manter seus criptoativos seguros.