A equipe de pesquisa da ESET, empresa líder em detecção proativa de ameaças, alerta que, para proteger as contas online de acessos indevidos, é essencial ativar o fator de dupla autenticação: uma camada adicional de segurança que pode impedir o roubo de credenciais, acessos e dados.
Também conhecido como autenticação de dois fatores, esta é uma medida oferecida por praticamente todas as plataformas e apps de serviços online. Além disso, estudos evidenciam a eficácia deste recurso para proteger as contas. Em 2019, o Google realizou uma pesquisa que garantiu que a autenticação de dois fatores é a solução mais eficaz para evitar o sequestro de contas e, em 2020, a Microsoft disse que 99% das contas comprometidas não a têm ativada.
Esta medida de segurança adicional pode ser configurada para enviar uma mensagem, via SMS, com um código único de seis dígitos que deve ser inserido para o acesso às contas. Caso um cibercriminoso tenha, de alguma forma, obtido as credenciais, ele também precisará ter em sua posse o telefone para receber o código de acesso.
Embora a maioria das plataformas solicite apenas um número de telefone para enviar o código via SMS, também é possível configurar essa camada adicional de segurança usando um app autenticador, como o Google Authenticator ou o Microsoft Authenticator. Em muitos casos, é até possível verificar a identidade usando a impressão digital, no lugar de uma numeração.
A ESET explica que, se algum desses aplicativos for usado, não é necessário receber uma mensagem via SMS – o que é mais seguro -, já que será o mesmo aplicativo que fornecerá o código de seis dígitos, necessário para verificar a identidade ao fazer login.
Camilo Gutiérrez Amaya, Chefe do Laboratório de Pesquisa da ESET, alerta: “É muito importante nunca compartilhar esse código com ninguém. Os golpistas geralmente entram em contato com as pessoas via WhatsApp usando diferentes desculpas e solicitam que elas encaminhem um código de seis dígitos que enviaram via SMS para o número da vítima. O verdadeiro propósito é compartilhar o código de autenticação em duas etapas para roubar o acesso às contas”.
O especialista acrescenta: “É mais seguro usar um aplicativo de autenticação do que receber o código via SMS, já que no caso de serem vítimas do SIM Swapping, que é um ataque em que sequestram a linha telefônica por meio de clonagem de chip, o invasor receberá em seu telefone o código de seis dígitos para acessar nossas contas. Também é importante ter em mente que, caso o invasor tenha roubado nosso telefone, o cenário muda, já que ele terá grandes chances de acessar o código de verificação, seja pelo aplicativo de autenticação ou via SMS”.
Serviços como Google, Microsoft, Facebook, WhatsApp, Instagram, Twitter, Twitch, TikTok ou LinkedIn permitem que você configure a autenticação de dois fatores para não depender apenas da força de uma senha. A proteção de senhas apenas expõe os usuários a possíveis ataques.
Os cibercriminosos geralmente compram e vendem senhas em fóruns da dark web ou podem obtê-las a partir de vazamentos sofridos no passado. Com essas informações, eles podem realizar ataques de força bruta para tentar quebrar senhas em massa e roubar contas. Esse tipo de ataque se aproveita de vazamentos e do fato de que muitas pessoas usam senhas fracas e fáceis de prever e até reutilizam a mesma senha para acessar outras contas.
A ESET afirma que, embora não seja infalível, implementar a autenticação de dois fatores é melhor do que usar apenas senhas. É uma camada extra de proteção que torna o usuário um alvo mais difícil para os invasores. Existe um malware que inclui entre seus recursos mecanismos para evitar essa camada de proteção, mas, na maioria das situações, os sistemas de dois fatores oferecem uma valiosa camada adicional de proteção para pessoas e empresas.
Para saber como configurar a autenticação de dois fatores em alguns dos aplicativos mais usados, acesse aqui.
