Apple: Alteração na autenticação 2FA trava ataques de phishing via SMS

1 Fev 2022

3 Comentários

Por vezes são pequenas alterações que não revelam de imediato as alterações profundas que estão a acontecer. Um desses casos deu-se agora com a Apple a alterar o comportamento do preenchimento automático de dois fatores (2FA) ao receber códigos SMS. Esta alteração quer garantir que esta técnica só funciona em sites e serviços fidedignos.

O preenchimento automático dos códigos enviados por SMS são uma enorme ajuda na utilização dos serviços quer em aplicações, quer na web, via browser, mas é preciso ter sempre cuidado.

Esteja atento à alteração que a Apple está a implementar nos SMS

Se já tiver (e deve ter sempre) a autenticação de dois fatores ativada na sua conta da Apple, provavelmente está familiarizado com os códigos que recebe por mensagem SMS. Estes códigos permitem que o utilizador faça login no seu Apple ID e, se estiver num iPhone, iPad ou Mac, este código será inserido automaticamente ou aparecerá na barra QuickType.

Agora, a Apple mudou as próprias mensagens SMS para garantir que o preenchimento automático funciona apenas em sites reais.

Apesar de ser uma alteração “ligeira”, a medida impede as tentativas de phishing com sites que se parecem com os da Apple. Agora a Apple insere um identificador à própria mensagem.

Basicamente a Apple fez o seguinte:

Antes mostrava:

O seu código Apple IS é 123456. Não o partilhe com ninguém.

Em novembro de 2021, a Apple referiu que os códigos iriam aparecer neste formato:

O seu código Apple ID é: 123456. Não o partilhe com ninguém. @apple.com #123456 %apple.com

Qual é a finalidade?

Isso significa que qualquer endereço de site que não esteja no corpo do SMS não funcionará com o preenchimento automático. Nesse caso, é o site da Apple, mas outros também podem aproveitar a mesma alteração para os seus próprios sites e serviços. Isto é, poderá ser estendido a muitos outros serviços.

Embora nada disso seja infalível e as pessoas ainda possam inserir o código manualmente e serem enganadas desta maneira, é já um começo. Idealmente, ninguém deverá usar a autenticação de dois fatores baseada em SMS como primeira opção, mas se o fizer, pelo menos é melhor que não ter nada.

PUB

Autor: Vítor M.

Partilhar:

Tags:

PUB.

Questão Semanal

Loading …

Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet

Arquivo

Artigo anterior

Legacy of the Sith chega em breve a Star Wars: The Old Republic

Próximo artigo

GPU Intel “Larrabee” Knights Ferry de 2010 à venda no eBay por 4.650 euros

PUB

Comentários

3

Deixe um comentário Cancelar resposta

Tiago Ferreira

1 de Fevereiro de 2022

Eu tenho a autenticação de 2 fatores ativo na minha conta ID Apple e nunca recebo nenhum SMS com nenhum código, recebo sim um popup que a Apple me envia com um código sempre que faço a minha autenticação na minha conta Apple.

Responder
1. 🙂
  
  1 de Fevereiro de 2022
  
  2FA pode ser em TOTP ou SMS. TOTP é mais seguro, mas existem muitos serviços que ainda o fazem com SMS.
  
  Responder
Joao Ptt

4 de Fevereiro de 2022

“Esperemos” que nunca adoptem chaves de segurança FIDO2, ou correm o risco de tornar a vida aos atacantes ainda mais difícil.

Responder

Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.