“An attacker, with sufficient knowledge about the victim, might very well be able to impersonate such a victim in a call to their phone carrier and convince them to enable the victim’s number on a new SIM card controlled by the attacker.
Another well-known possibility is when the attacker either works for the carrier or corrupts some of their employees to activate arbitrary numbers on request, without the need to impersonate their victims.”
Não sabia disso. Digo, não sabia quais critérios definiam ou não o que seria 2FA, e que o SMS não se encaixa nesses critérios pra ser considerado 2FA.
2 comentários
Pior que esse é um risco real mesmo, há vários relatos no Brasil. E não tem muito o que fazer para evitar o SIM swap, né? É ficar de olho no sinal da operadora e, se sumir numa área de boa cobertura, acionar o suporte o mais rápido possível.
Parece exagero. O primeiro ponto serve para absolutamente qualquer 2 fatores: com engenharia social posso pegar qualquer codigo de 2fat, teoricanente.
E segundo é um caso nicho do nichado.
Existe um equilibro entre “segurança” e “praticidade”. Se puxa demais para o primeiro, ignorando o segundo, estraga tudo.
Antigamente, e é verdade, era recomentado trocar a senha de tempo em tempo para todos os funcionários de uma empresa. Pois é seguro claro, caso uma senha vaze né! Depois de um tempo porém alguém notou que isso apenas fazia post-its de senha se propagarem pelos monitores do escritório…..