Artigo

Dupla verificação é aliada da proteção de dados pessoais

Em tempos de LGPD, todo cuidado é pouco. A seguir, o engenheiro de software Rafael Vannucci sugere um mecanismo, simples e eficiente, que pode ajudar clientes e empresas, como as de telecom, a proteger os dados contra ataques hacker

Ilustração com tela do computador e mãos de uma mulher, digitando dados para dupla verificação

 

6/09/2019

Com o crescimento do acesso à internet no país, hackers1 estão cada vez mais habilidosos na hora de roubar dados de pessoas físicas e jurídicas, em todo o mundo. A partir de técnicas de engenharia social, eles fazem uso da persuasão e exploram a ingenuidade e a confiança dos indivíduos para acessar os dados.

Por isso, várias empresas - sobretudo no âmbito internacional - têm se blindado de hackers e da engenharia social por meio da adoção da chamada autenticação em dois fatores, processo que obriga o usuário final a fornecer um código no momento do atendimento com a prestadora, via ligação telefônica, por exemplo.

A autenticação de senhas em duas etapas - ou 2FA (Two Factor Authentication) - é um mecanismo pelo qual, como o próprio nome sugere, é necessário  mais que um componente para autenticar o usuário. A técnica, que é simples e gratuita, consiste em solicitar um código ou senha adicional para que o acesso a determinado serviço ou informação seja liberado. A autenticação 2FA já é adotada em contas on-line, redes sociais, serviços bancários e em outros serviços conectados.

Lacunas

O setor de telefonia, em especial, é naturalmente um alvo de hackers, devido à facilidade de realizar ataques e a não complexidade das ferramentas usadas nesses ataques. Uma amostra dessa facilidade foi dado pela pesquisadora Jessica Clark, durante a Defcon, uma das maiores conferências hacker do mundo: de posse apenas do nome da prestadora utilizada pelo indivíduo alvo, a pesquisadora consegue ligar - pelo número do alvo - e obter acesso total aos dados pessoais do mesmo.

O ataque simulado por Jessica Clark empregou engenharia social (via protocolo Signaling, para ligar pelo próprio número de telefone do alvo), mas é interessante comentar que também são comuns outros tipos de métodos, como o SIM swap, pelo qual o fraudador adquire um chip/SIM card, em branco, e ativa o número da vitima. Em posse da linha, ele consegue recuperar senhas de contas via SMS e até acessar mensageiros eletrônicos.

Há de salientar que algumas prestadoras, em outros países2, já usam mecanismos de dupla verificação para garantir a autenticidade entre empresa e cliente, sobretudo no momento do atendimento a este, onde informações pessoais e financeiras serão tratadas.

Acuracidade

Cada prestadora de serviço de telecomunicações do Brasil deveria, obrigatoriamente, incorporar mecanismos de validação em duas etapas, como forma de aumentar a acuracidade e a garantia de realmente estar prestando atendimento ao consumidor correto.

Um método de 2FA, que pode ser aplicado, é o usado pela operadora Norte Americana AT&T3, o qual consiste na configuração de um PIN de acesso, por parte do cliente final (assinante). Código esse que será solicitado em todo e qualquer contato com o fornecedor de serviços. A implementação no nosso país pode, inclusive, ser de forma gradativa, começando pelos membros dos conselhos de usuários, idealizados pela Agência Nacional de Telecomunicação (Anatel).

Sugestão do fluxo de uso: Sugestão da implementação:
    1. Cliente entra em contato com a prestadora
    2. URA solicita o código autenticador
    3. Cliente insere o código usando o teclado numérico
    4. Atendimento segue com acesso aos dados pessoais e financeiros
    1. Cliente atual recebe SMS solicitando ativação online ou em loja própria da prestadora

Enquanto o ideal não chega

A solução, por parte das empresas, que garantiria ainda mais a proteção contra técnicas de engenharia social, como a citada anteriormente, seria o desenvolvimento de APIs. Essas APIs permitiriam o uso de aplicativos autenticadores -como Google Authenticator, ou app proprietário desenvolvido diretamente pela prestadora, como já ocorre com a Vivo que oferece o Vivo Token para iOS e Android - para captar e gerar os códigos que seriam aceitos durante o atendimento ao cliente. O uso de APIs seria um avanço, mas a verificação em duas etapas trata-se de uma solução intermediária interessante. E enquanto a solução ideal não chega, algumas atitudes, por parte dos indivíduos, podem diminuir o vetor desses tipos de ataques:

  1. Desativar a caixa postal: o consumidor pode entrar em contato com sua operadora móvel, e solicitar a desativação da caixa de mensagens. Isso ajudará a evitar ataques do tipo Spoofing.
  2. Entrar em contato com a operadora móvel e abrir um protocolo de atendimento, solicitando a confirmação pessoal com mais de uma fonte de dados.
  3. Buscar serviços que permitam o cadastramento de verificação em duas etapas, e optar por usar métodos como notificações push ou dispositivos/token físicos para autenticação.

Referências
1 https://oglobo.globo.com/economia/tecnologia/brasil-o-setimo-pais-com-mais-invasoes-de-hackers-confira-os-golpes-mais-comuns-23232268
https://www.verizon.com/support/residential/account/manage-account/security
3 https://www.att.com/esupport/article.html#!/my-account/KM1049472

Box Rafael Antonio Vannucci Léda é formado em Administração pela Esags, a Faculdade de Administração, Economia, Contabilidade e Publicidade, filiada à FGV. Atua desde 2016 na Nubank, em São Paulo. Atualmente, é engenheiro de software na startup.

Serpro LGPD
Serpro e LGPD:
segurança e inovação