Com o crescimento das tentativas de invasão em contas dos mais variados serviços online, se tornou necessária a criação de formas alternativas de verificar a identidade do usuário que tentava acessar os serviços, ainda mais levando em conta de que, muitas das vezes, informações pessoais, corporativas e financeiras podem rodar pela internet e por esses serviços.

Uma das principais formas foi a criação da autenticação em dois fatores, considerado por muitos obrigatório para que não haja vazamentos, porém, segundo a apresentação realizada na DEFCON realizada durante o último final de semana em Las Vegas, o sistema não é tão seguro quanto se acha, ainda mais se o serviço oferece a liberação do código por ligação.

Para explicar de forma simples, o cracker utilizou de invasão por força bruta (ou seja, um sistema eletrônico fica testando individualmente cada senha possível até achar a correta) na caixa postal da linha.

De posse da senha da caixa postal da vítima, ele passava para o próximo estágio que era sobrecarregar a linha com ligações, fazendo com que ela ficasse ocupada e redirecionasse a ligação da verificação para a caixa postal, que por sua vez, grava o código de segurança disponibilizado.

O resultado no final das contas é que o cracker conseguiu através de uma vulnerabilidade nas caixas de mensagem de voz acessar aplicativos como o Whatsapp e a conta do Paypal do usuário. Dessa forma, seria possível realizar operações em nome do mesmo.

Com isso, além do SIM swapping, como o do caso de um estudante que invadiu 40 telefones e conseguiu roubar 5 milhões de dólares, agora a vulnerabilidade também está na caixa postal.

O responsável pela descoberta então procurou os serviços em questão para comunicar sobre o descoberto, porém recebeu respostas inexpressivas de boa parte delas. O lado positivo é que, segundo ele, não há relatos de invasões usando esse tipo de abordagem, porém, é preocupante pensar que algo “tão simples” pode ser explorado para invasão e furto de contas.

Abaixo, é possível conferir o vídeo mostrando a realização da invasão. Mas atenção, se você tiver bloqueador de anuncios ativado, o vídeo pode não ficar disponível.