Através do serviço bancário on-line, os bancos procuram aliviar a carga de trabalho do atendimento ao público em suas agências, visando reduzir o número de clientes que são atendidos fisicamente em suas instalações.
Desde que esta forma de serviço existe, os bancos têm procurado formas seguras para além de uma simples senha para autenticar a identidade de seus clientes ao fazer transações, especialmente ao fazer transferências para as contas de outras pessoas.
Começou o trabalho sobre o conceito de autenticação de múltiplos fatores, difundindo o uso de autenticação de 2 fatores, ou 2FA (2 Factor Authentication). Este último consiste no uso de dois elementos para autenticar a identidade de uma pessoa; os dois fatores mais usados têm sido algo que a pessoa conhece (como uma senha ou PIN) e algo que a pessoa tem (um objeto cuja presença pode ser comprovada ou demonstrada).
No início, era suficiente com uma lista de números de autorização de transação válidos ou TAN (Transaction Authorization Number) que o banco dava a cada cliente, e que ele tinha que usar sequencialmente ao fazer suas transferências. Em seguida, eles trocaram para cartões coordenados, que também eram um recurso físico, mas permitiram mais flexibilidade do que as listas originais.
Mas, estas formas logo começaram a sofrer a obsolescência causada pelo abuso dos próprios usuários e, é claro, os criminosos não demoraram muito a chegar. Os usuários os perderiam e copiariam suas listas e cartões de coordenadas, de modo que mais de uma instância do objeto de segurança original existisse, e até mesmo salvariam as imagens em seus computadores, comprometendo ainda mais todo o esquema de segurança.
Depois disso, os bancos evoluíram e adotaram novas maneiras de autenticar seus clientes on-line, além da senha. O segundo fator tomou a forma de uma seqüência numérica que o sistema do banco envia por mensagem de texto (SMS) para o cliente que está tentando fazer uma transferência, após registrar seu número de telefone. Em princípio, parece muito seguro, já que o celular do cliente é algo que normalmente só está em sua posse, e portanto tê-los presentes quando um cliente faz uma transferência on-line parece lógico e seguro.
O problema é que os criminosos estão sempre procurando abusar de novas defesas e isto não foi exceção. Assim, logo se tornou comum comprometer os celulares, utilizando diferentes técnicas de engano que deixam o dispositivo sob o controle dos atacantes. Desta forma, tornou-se possível para os atacantes acessar o conteúdo das mensagens de texto recebidas, entre outras coisas. Além disso, através da engenharia social, o que é conhecido como SIM swapping se generalizou em muitas partes do mundo , uma forma de ataque que consiste em obter uma duplicata do cartão SIM do usuário através da própria operadora de serviço telefônico, conseguindo assim receber todas as mensagens e chamadas feitas para o número em questão.
Isto fez com que cada vez mais bancos ao redor do mundo, e particularmente agora muitos bancos alemães (incluindo públicos e privados) decidiram parar definitivamente de usar o SMS como um segundo fator de autenticação, de acordo com o relatório.
Eles baseiam esta decisão na consideração de que o código recebido via SMS não é mais visto como uma forma forte de autenticação, já que não é mais algo que você tem, mas algo que você conhece, semelhante a uma senha, prejudicando assim o conceito de dois fatores.
Além disso, eles estão alinhados com a Diretiva de Serviços de Pagamento 2 da União Européia (PSD2) que determina que as transações eletrônicas remotas dos consumidores da UE sejam autorizadas através de "autenticação forte do cliente" (SCA), o que significa o uso de 2 ou mais fatores, categorizados como conhecimento, posse ou herança.
Neste sentido, da Security Advisor, estamos promovendo o uso da tecnologia OneSpan (ex VASCO), da qual somos um canal certificado. Nesta linha, oferecemos às instituições bancárias a possibilidade de implementar uma solução de segundo fator extremamente robusta, baseada em algoritmos criptográficos de alta segurança que são implementados em dispositivos geradores de senhas de uso único, disponíveis tanto em formato físico quanto virtual. Este último pode ser usado na forma de uma aplicação altamente segura para dispositivos móveis, fornecida pela marca em um formato básico, ou alternativamente ser desenvolvido pelo banco através de um SDK fornecido para este fim.
O desenvolvimento de uma aplicação proprietária permite às instituições implementar sua aplicação móvel (app) com todas as funcionalidades comerciais que elas desejam e consideram convenientes, enquanto incorporam nela um componente gerador de senha de uso único.
Estas aplicações, tanto a fornecida pela OneSpan como a que pode ser desenvolvida por cada instituição, possuem defesas que impedem seu comprometimento por potenciais criminosos que infectaram o dispositivo móvel no qual operam, garantindo assim a segurança das transações que o cliente autoriza.
Convidamos você a nos consultar para saber mais sobre esta tecnologia e entender como sua instituição pode se beneficiar de sua adoção, já que o uso de SMS tem níveis de segurança muito baixos, de acordo com o seguinte relatório, clicando aqui.
Autor:
Hugo Köncke - Gerente Regional de Consultoria do Assessor de Segurança
Conecte