Quem utiliza o correio de voz hoje em dia? “Ninguém”, provavelmente será
a primeira resposta da maioria. Isso está certo e errado. Verdade, não
são muitos os usuários, mas muitos clientes de telefonia móvel ainda o
possuem – e apesar de negligenciado, funciona perfeitamente.
E lembre-se: só porque você não usa seu correio de voz, não quer dizer que ninguém mais o faça. Em seu estudo “Compromising online accounts by cracking voicemail systems” (“Comprometendo contas online por meio da violação de sistemas de correio de voz”) na DEF CON 26, o pesquisador de segurança Martin Vigo mostrou o uso desse recurso como meio de hackear contas online.
Na verdade, a maioria das operadoras permite o acesso à sua caixa de mensagens do correio de voz não apenas pelo seu telefone, como também por meio de outro aparelho – nesse caso, o acesso é protegido por um código PIN. Contudo, os PINs de correios de voz são frequentemente muito pouco seguros. Muitos clientes usam códigos-padrão definidos pela operadora – geralmente os últimos dígitos do número de telefone ou algo simples como 1111 ou 1234.
Além disso, mesmo que o cliente se dê o trabalho de mudar o código, a probabilidade de que seja algo fácil de adivinhar é ainda bastante alta: conforme demonstra outra pesquisa, quando se trata de pensar em PINs, as pessoas são ainda menos criativas do que com senhas.
Primeiro, provavelmente o PIN terá quatro dígitos, ainda que seja tecnicamente possível aumentá-lo. Segundo, muitos usuários optam por sequências fáceis de lembrar como quatro dígitos idênticos ou combinações como 1234, 9876, 2580 (a coluna central do teclado do telefone) e similares. PINs que começam com 19xx também são muito populares. Conhecer essas peculiaridades torna mais rápido e simples violar uma caixa de mensagens de correio de voz.
Não é preciso testar as combinações manualmente – o trabalho pode ser feito por um script que liga para o correio de voz e introduz diferentes combinações em modo de tom. Isso significa que usar um ataque de força bruta em um correio de voz não apenas é possível, como também não requer muitos recursos. “E daí?”, você pode dizer, “Não há nada de valioso no meu correio de voz”. É o que você pensa.
A tarefa do cibercriminoso é meramente adivinhar o PIN do correio de voz e esperar até que o telefone da vítima esteja desligado ou fora de área (por exemplo, em modo avião). Então, simplesmente iniciam uma recuperação de senha no serviço online e selecionam como opção de verificação uma ligação que vai cair direto no correio de voz.
Martin Vigo demonstrou como essa técnica pode ser usada para invadir uma conta de WhatsApp.
Alguns recursos online aplicam um processo de verificação um pouco diferente: o serviço liga para o número de telefone associado à conta e solicita que o usuário insira os números exibidos na página de recuperação de senha. No entanto, isso pode ser contornado com a ajuda de um simples truque que envolve definir como mensagem de saudação do correio de voz uma gravação dos tons do teclado que correspondem aos dígitos do código de recuperação.
Um dos serviço online que usa esse tipo de sistema de verificação é o PayPal. Martin Vigo violou com sucesso esse também:
Acima estão apenas alguns exemplos. Na verdade, muitos outros serviços usam uma ligação de voz automatizada para um número de telefone associado para verificar uma recuperação de senha ou transmitir um código único de autenticação de dois fatores.
E lembre-se: só porque você não usa seu correio de voz, não quer dizer que ninguém mais o faça. Em seu estudo “Compromising online accounts by cracking voicemail systems” (“Comprometendo contas online por meio da violação de sistemas de correio de voz”) na DEF CON 26, o pesquisador de segurança Martin Vigo mostrou o uso desse recurso como meio de hackear contas online.
Na verdade, a maioria das operadoras permite o acesso à sua caixa de mensagens do correio de voz não apenas pelo seu telefone, como também por meio de outro aparelho – nesse caso, o acesso é protegido por um código PIN. Contudo, os PINs de correios de voz são frequentemente muito pouco seguros. Muitos clientes usam códigos-padrão definidos pela operadora – geralmente os últimos dígitos do número de telefone ou algo simples como 1111 ou 1234.
Além disso, mesmo que o cliente se dê o trabalho de mudar o código, a probabilidade de que seja algo fácil de adivinhar é ainda bastante alta: conforme demonstra outra pesquisa, quando se trata de pensar em PINs, as pessoas são ainda menos criativas do que com senhas.
Primeiro, provavelmente o PIN terá quatro dígitos, ainda que seja tecnicamente possível aumentá-lo. Segundo, muitos usuários optam por sequências fáceis de lembrar como quatro dígitos idênticos ou combinações como 1234, 9876, 2580 (a coluna central do teclado do telefone) e similares. PINs que começam com 19xx também são muito populares. Conhecer essas peculiaridades torna mais rápido e simples violar uma caixa de mensagens de correio de voz.
Não é preciso testar as combinações manualmente – o trabalho pode ser feito por um script que liga para o correio de voz e introduz diferentes combinações em modo de tom. Isso significa que usar um ataque de força bruta em um correio de voz não apenas é possível, como também não requer muitos recursos. “E daí?”, você pode dizer, “Não há nada de valioso no meu correio de voz”. É o que você pensa.
Como hackear PayPal e WhatsApp via correio de voz
Para recuperar uma senha, muitos dos maiores serviços online oferecem, entre outras opções, ligar para você e fornecer um código de verificação.A tarefa do cibercriminoso é meramente adivinhar o PIN do correio de voz e esperar até que o telefone da vítima esteja desligado ou fora de área (por exemplo, em modo avião). Então, simplesmente iniciam uma recuperação de senha no serviço online e selecionam como opção de verificação uma ligação que vai cair direto no correio de voz.
Martin Vigo demonstrou como essa técnica pode ser usada para invadir uma conta de WhatsApp.
Alguns recursos online aplicam um processo de verificação um pouco diferente: o serviço liga para o número de telefone associado à conta e solicita que o usuário insira os números exibidos na página de recuperação de senha. No entanto, isso pode ser contornado com a ajuda de um simples truque que envolve definir como mensagem de saudação do correio de voz uma gravação dos tons do teclado que correspondem aos dígitos do código de recuperação.
Um dos serviço online que usa esse tipo de sistema de verificação é o PayPal. Martin Vigo violou com sucesso esse também:
Acima estão apenas alguns exemplos. Na verdade, muitos outros serviços usam uma ligação de voz automatizada para um número de telefone associado para verificar uma recuperação de senha ou transmitir um código único de autenticação de dois fatores.
Como não ser hackeado pelo correio de voz
- Considere desabilitar completamente o correio de voz, especialmente se não tiver utilidade para você;
- Utilize um PIN seguro, se precisar mesmo do correio de voz. Para começar, deve ter mais que quatro dígitos. Quanto mais, melhor. Depois, a combinação deve ser difícil de adivinhar, e preferencialmente aleatória.
- Não distribua indiscriminadamente o número de telefone associado às suas contas online. Quanto mais difícil for ligar sua identidade online a um contato telefônico, melhor.
- Tente não associar seu número de telefone a um serviço online, se não for requisito ou necessário para autenticação de dois fatores.
- Utilize autenticação de dois fatores – idealmente, um aplicativo como o Google Authenticator ou um dispositivo hardware como o YubiKey.
Nenhum comentário:
Postar um comentário