A verificação em dois passos (2FA, Two-Factor Autentication) é um método que oferecem vários serviços como as redes sociais, e até mesmo as casas de câmbio das criptomoedas, para que o usuário possa recuperar a sua senha no caso de tê-la extraviado. Para utilizar este método, o sistema deve ter o número de telefone do usuário e, em ocasiões, um segredo dos dados, de modo que o beneficiário possa solicitar um código de recuperação, o que é enviado para o seu telefone depois de verificar com sucesso os seus dados.

Embora este processo de recuperação parecesse bastante seguro, na realidade os hackers foram aproveitando para interferir nas casas de câmbio. O método é confiável, enquanto o dono da conta é o único que tem acesso ao seu número de telefone, em o caso contrário, se torna num problema.  O modo de operar dos hackers é obter o número do objetivo, chamar a companhia de telefone apropriada, fazer-se passar por ele ao fornecer os dados necessários, que são frequentemente muito básicos, e transferir a conta para outra companhia de telefonia. Em seguida, pedem os dados de recuperação na conta do correio eletrônico, onde os dados são requeridos para iniciar sessão nas carteiras digitais.

CODY BROWN

Cody Brown, fundador de uma empresa de realidade virtual em Nova York chamado IRL, detalhou passo a passo no seu blog como ele perdeu 8.000 dólares em criptomoedas em apenas 15 minutos no dia 23 de maio deste ano. Para relatar o que aconteceu é suportado em imagens tiradas do seu telefone e conta do Twitter.

Às 11:31 da noite, ele recebeu uma mensagem da sua empresa de telefone, Verizon, dizendo que estava em linha com eles e que tinha acabado de fazer o processo de autenticação com um método alternativo, e de não ser assim deve ligar para o indicado número. Imediatamente chamou, no entanto, recebeu em resposta com á voz de um robô informando-o que estavam fechados naquele momento, apesar de ter pressionado a tecla correspondente para falar com um operador. Então, a ele lê chega uma cópia da mesma mensagem:

Verizon-Cody-Mensagem- Brown
  • Facebook
  • Twitter
  • Google+
  • LinkedIn

Verizon-Cody-Mensagem- Brown
  • Facebook
  • Twitter
  • Google+
  • LinkedIn
Mensagem Verizon enviado para Cody Brown. Fonte: Medium.com

Sucessivamente, Browm escreveu para a conta do Twitter da companhia anexando a foto da mensagem. Enquanto espera pela resposta, ele procurou sem sucesso no Google um número para contatar Verizon em caso de fraude.

Linha-fraude-Verizon-pesquisa
  • Facebook
  • Twitter
  • Google+
  • LinkedIn

Linha-fraude-Verizon-pesquisa
  • Facebook
  • Twitter
  • Google+
  • LinkedIn
Pesquisa em Google da
linha contato em caso de fraude Verizon. Fonte: Medium.com

Fraude-pesquisa-linha-Verizon
  • Facebook
  • Twitter
  • Google+
  • LinkedIn

Fraude-pesquisa-linha-Verizon
  • Facebook
  • Twitter
  • Google+
  • LinkedIn
Resultados da pesquisa. Fonte: Medium.com

 

 

 

 

 

 

 

Às 11:37 p.m. a companhia disse via Twitter que não podia ver a imagem, e Brown escreveu o texto da mesma em resposta; e minutos depois ele disse que alguém esta fazendo-se passar por ele.

Às 11:40 p.m. a sua conta Gmail fechou sessão, e viu as 11:41 em tempo real, como sua senha foi redefinida em Coinbase, uma grande casa de câmbio, depois de ter confirmado o acesso de um novo dispositivo, às 11:34. Logo após, foram efetuadas três transferências de saída 1.18 BTC, 70.96 LTC e 16.03 ETH.

MAIS FÁCIL QUE ROUBAR UM BANCO

Com esta experiência, ele concluiu que, apesar de haver maneiras de ter contas protegidas relacionados com o ecossistema das criptomoedas, os novos membros não sabem aceder aos métodos de segurança, por isso são particularmente vulneráveis. Assim, as empresas envolvidas na autenticação em duas etapas (telefone e serviço de plataforma em questão), deveriam começar a ter medidas de segurança mais estritas.

Depois de ter falado com um funcionário de atenção ao cliente de Verizon, Brown percebeu os quão despreparados a empresa está para os casos de fraude. Aprendeu que um criminoso não precisa dar informações relevantes, tais como o número de segurança social para personificar alguém; com dados da fatura é suficiente para alcançar este objetivo. Sua reação a este fato foi:

 

Isto fez voar a minha mente e parecia negligente além de qualquer razão possível, mas é o que eles fazem. A principal coisa que me chamou a atenção foi à velocidade de extração possível no ecossistema atual das criptomoedas. $ 8.000 em 15 minutos são mais rápido e mais lucrativo que roubar um banco suburbano.

 

Cody Brown Fundador, IRL

RECOMENDAÇÕES

Por outro lado, dá exemplos de ações que podem tomar os envolvidos para prevenir o hackeo, ou pelo menos dificulta-lo.

As Sugestões á Verizon começam com adicionar mais capas de segurança para aqueles que chamam para solicitar a mudança do seu número de telefono para outra operadora, já que obter a informação atualmente necessária é relativamente fácil. Em seguida, apresenta a ideia de fazer das mensagens SMS que chegam algo mais que simples notificações e poder cancelar ações através deles. Além disso, pediu para tornar visível o número de contato em caso de fraude.

Para o Coinbase recomenda colocar como exigência o Autenticador do Google para armazenar qualquer tipo de moedas na plataforma, especialmente para os novos usuários; ter uma linha 24/7 de atenção ao cliente para estas situações; e limitar a entrada de mais usuários até que tenham suficientes recursos de suporte para todos. Além, exige a criação de uma apólice de seguro para contas pessoais, ainda que seja um pouco vulnerável, e delegou encontrar um método para torná-lo viável.

Finalmente, adverte aos novos usuários neste ecossistema que é importante evitar divulgar informações sobre as suas transações e identidade real na web. Ele também fala sobre ter um correio eletrônico exclusivo e secreto, para as carteiras digitais, e no caso de você querer continuar guardando as criptomoedas em Coinbase, certifique-se de manter o dinheiro na abóbada, para pelo menos atrasar os movimentos indesejados um par de dias.

Cody Brown foi só uma vítima de outros casos de hackeo semelhante no ecossistema Bitcoin, no entanto, é importante ter em conta já que a sua experiência deu-lhe como resultado a criação de uma entrada de blog que pode ser muito útil para aqueles que começam se envolver no meio.

 

Traduzido de: CriptoNoticias