Estudo indica que Bancos não devem usar códigos por SMS

Cátia Colaço,

Um estudo da NSS Labs revela que os cibercriminosos estão a desenvolver software malicioso avançado para dispositivos Android, tornando ineficaz um recurso de segurança utilizado para proteger o acesso a contas bancárias online.

Fighting-Online-Banking-Fraud-Small-1024x682Consoante a banca móvel cresce, também as aplicações Android nocivas estão a intercetar mais códigos de uma só utilização. Muitos bancos oferecem aos seus clientes um sistema de autenticação por dois fatores, que envolve o envio de uma mensagem SMS com um código depois digitado num formulário na Internet.

Para anular as intenções dos cibercriminosos na posse de credenciais de login de um utilizador, o  código expira em poucos minutos. No entanto, de acordo com Ken Baylor, Vice-Presidente de investigação da NSS Labs, “existem diversas suítes de malware móvel que funcionam juntamente com malware de desktop para suplantar a barreira dos referidos códigos”.

O estudo diz para não se confiar na autenticação baseada em SMS, porque “está completamente comprometida”. Depois de um PC ser comprometido, o malware injeta novos campos ou menus pop-up no ecrã, pedindo o número de telefone de uma pessoa e o tipo de sistema operativo móvel usado e o modelo do telefone.

É enviado um link para o telefone que, se acionado, desencadeia a instalação de malware capaz de enviar os códigos para outro telefone. Deste modo, outra pessoa poderá autenticar-se para aceder à conta bancária de uma pessoa.

“Muitos bancos ainda funcionam com aplicações móveis que são apenas invólucros de HTML em vez de aplicações nativas seguras”, refere a NSS Labs. “Deviam ser revistas para incluírem uma combinação de browsers mais protegidos, um sistema de identificação baseado em certificados, chaves únicas, cifra, geolocalização e impressão digital, no dispositivo”, acrescenta.