Mobile Intelligence. Trusted Data.

Hackers Silent Authentication

Autenticação silenciosa - porque é que é o futuro e porque é que os autores de fraudes a detestam

Em tempos, esperava-se que fossem uma espécie de bomba inteligente que seria um golpe fatal para os criminosos.

Mas, ultimamente, os autores de fraudes descobriram uma ou duas brechas que lhes permitem contornar as OTP de segurança fornecidas, até agora completamente impenetráveis.

Não há necessidade de entrar em pânico – as OTP continuam a ser um meio sólido de proteger os utilizadores contra fraudes durante as transacções. Mas existem actualmente algumas formas conhecidas de os autores de fraudes as contornarem.

Um dos maiores problemas na guerra contra a fraude é o facto de o inimigo estar sempre a tentar transformar o armamento que se destina a erradicá-la em seu próprio benefício e utilizá-lo como uma arma. E foi isso que começou a acontecer recentemente em algumas circunstâncias com as senhas de uso único (OTPs).

Uma das mais recentes burlas, por exemplo, permite que os burlões obtenham OTPs sem sequer terem o telemóvel da vítima ou uma réplica do mesmo. Em vez disso, enviam um SMS que parece vir do banco do seu alvo, perguntando-lhe se acabou de fazer uma transacção de valor elevado – uma reserva de férias de 10.000 libras, por exemplo. O titular da conta, horrorizado, responderá “não”. Um novo SMS pedir-lhes-á então que verifiquem esta resposta partilhando a OTP que estão prestes a receber. Ao mesmo tempo, o hacker tentará iniciar sessão numa conta pertencente à sua vítima. Isto fará com que uma OTP genuína seja enviada por SMS para o seu telemóvel – mas, preocupada com a reserva das férias, a vítima irá introduzi-la de acordo com as instruções. Ao fazê-lo, é claro, estão a enviar esse código de acesso a um pirata informático.

Vulnerabilidades das OTPs

No outro extremo da escala, num nível mais cru, mas mais assustador, está esta versão. Um amigo meu foi assaltado recentemente. Tiraram-lhe o telemóvel e ameaçaram-no com violência se não revelasse o PIN para o desbloquear. Assim que o tivessem, poderiam entrar em todas as suas aplicações e começar a causar o caos com o seu dinheiro. Muito tempo depois de o telemóvel ter sido dado como roubado, continuavam a ser-lhes enviadas OTPs para facilitar o roubo – porque não havia qualquer correlação entre o facto de o telemóvel ser roubado e a sua capacidade de efectuar transacções.

Existem múltiplas variações destes esquemas fraudulentos, mas o ponto mais importante é que as OTP têm algumas vulnerabilidades que podem permitir que sejam contornadas por criminosos.

Authenticate explanation design one app blog post

É por isso que estamos tão entusiasmados com a chegada da autenticação silenciosa.

Trata-se de uma forma rápida, sem atritos e, sobretudo, totalmente segura de verificar os utilizadores, que em breve se tornará uma grande novidade na segurança em linha. Para utilização no ponto de integração e/ou compras subsequentes, a autenticação silenciosa elimina as vulnerabilidades que as OTPs desenvolveram.

E a razão é que se baseia exclusivamente nos dados em tempo real do telemóvel do utilizador.

Há anos que falamos muito sobre o facto de a chave para a segurança em linha ser a utilização de dados de telecomunicações, uma vez que estes nos podem dizer mais sobre o utilizador do que qualquer outra informação. E é exactamente isso que a autenticação silenciosa faz. Por isso, é muito gratificante ver que está finalmente a ser adoptada como a arma de segurança de ponta que sempre soubemos que poderia ser.

E espero que seja escusado dizer, mas é claro que estaremos na vanguarda da introdução da autenticação silenciosa na utilização generalizada.

A nossa própria versão de autenticação silenciosa chama-se TMT Authenticate e inclui dados de mais de 50 operadores de redes de telecomunicações a nível mundial. Isto significa que oferece uma verdadeira protecção de segurança mundial a um nível nunca antes alcançado.

Elimina o antagonismo de longa data de ter de escolher entre controlos de fraude de ponta e uma experiência de utilizador sem atritos: de repente, é possível ter ambos.

O vencedor final é o cliente: porque também nunca quis ter de fazer a escolha ingrata entre uma experiência em linha rápida e sem falhas e sentir-se seguro e protegido.

Agora já não precisam de o fazer.

Autor

Fergal Parkinson

Fergal Parkinson

DIRECTOR FINANCEIRO E CO-FUNDADOR

Want more insights?

Sign up to join our mailing list.

Antes de partir...

Veja o nosso mais recente livro branco, Tackling Mobile Identity Fraud in Financial Services (Combater a fraude de identidade móvel nos serviços financeiros). Os nossos especialistas em produtos estão sempre à disposição para responder a quaisquer perguntas!