Deve evitar a segurança em dois passos baseada em SMS sempre que possível. Todos nós gostamos de pensar que os nossos números de telefone estão completamente sob o nosso controlo e apenas associados aos equipamentos que possuímos. Na realidade, isso não é verdade. Quando confia no seu número de telefone, está a confiar no serviço de apoio ao cliente do seu operador de telemóvel para proteger o seu número de telefone e impedir que os atacantes o roubem.
Alerta: evite a segurança em dois passos baseada em SMS!
Em vez de receber códigos de segurança enviados por mensagem de texto, recomendamos a utilização de outros métodos de segurança de dois factores. Um bom exemplo disso é o Google Authenticator. Estas aplicações geram o código no próprio telemóvel. Assim um criminoso teria de ter o seu telemóvel – e desbloqueá-lo – para obter o código de segurança.
Roubo de identidade
O perigo está relacionado com o roubo de identidade. Alguém com as suas informações pessoais faz-se passar por si e pede ao seu operador de telemóvel para transferir o seu número de telefone para um novo telemóvel. A operadora de telemóvel pedirá que forneça algumas informações pessoais para se identificar, mas muitas vezes, fornecer o seu número de contribuinte entre outras coisas é suficiente. Num mundo perfeito, estes dados seriam privados. Mas, como vimos, basta um simples roubo de informações a uma empresa para tudo isto cair na mão dos criminosos.
Se a pessoa conseguir enganar a sua operadora de telemóvel, a troca efetua-se de imediato. Entretanto quaisquer mensagens SMS enviadas para si e chamadas telefónicas destinadas a si serão encaminhadas para o telefone dela. O seu número de telefone associa-se ao telefone do criminoso. Depois o seu smartphone atual deixa de ter serviço de chamadas, mensagens de texto ou dados.
Isto é apenas mais uma variação de um ataque de engenharia social. Alguém liga para uma empresa fingindo ser outra pessoa e utiliza a engenharia social para obter acesso a algo que não deveria ter. Tal como outras empresas, as operadoras de telemóveis querem que tudo seja o mais fácil possível para os clientes legítimos. Assim a sua segurança pode não ser suficientemente apertada para afastar todos os atacantes.
