Você já ficou aliviado ao ver a mensagem “Clique no link para entrar” chegando por SMS? Pois é justamente aí que mora o perigo. Uma pesquisa liderada por universidades norte-americanas e pela empresa Circle identificou mais de 700 pontos vulneráveis em serviços que usam autenticação por SMS, deixando à mostra dados pessoais de milhões de pessoas — de CPF a números de conta bancária.
O que a investigação descobriu
Para ter ideia do tamanho da ameaça, os pesquisadores vasculharam 33 milhões de mensagens de texto enviadas para 30 mil números (aqueles de uso público, que qualquer um consegue ver na internet). Dessa montanha de SMS, surgiram 332 mil URLs únicas; 701 endpoints permitiam, literalmente, passear pelas contas de usuários apenas alterando um dígito do token no fim do endereço. O golpe é tão simples que chega a assustar: trocar “ABC123” por “ABC124” e… pronto, acesso liberado.
Por que o “link mágico” virou vilão
Empresas de todos os tamanhos adoram a autenticação sem senha. A promessa é reduzir atrito: o usuário informa só o número de celular, recebe o SMS e acessa a plataforma. Porém, na pressa de simplificar o login, muitos desenvolvedores deixam de aplicar boas práticas básicas:
- Tokens de baixa entropia (poucas combinações possíveis);
- Prazo de expiração longo ou inexistente do link;
- Nenhuma checagem extra além de clicar na URL.
Resultado: os criminosos conseguem automatizar ataques de força-bruta e invadir perfis em serviços de seguros, vagas de emprego, delivery, apps de investimento e por aí vai. E como o SMS trafega sem criptografia, interceptar mensagens é só mais um bônus para quem está do lado errado da história.
Impacto prático: do gamer ao trabalhador remoto
Se você armazena cartões de crédito em um app de delivery, mantém carteira de criptomoedas em exchanges ou usa plataformas de trabalho freelance, as consequências vão além do constrangimento. Perda de itens in-game, compras fraudulentas e vazamento de dados fiscais são só alguns cenários possíveis quando o invasor se passa por você.
Existe saída? Sim, e ela cabe no seu chaveiro
Links enviados por SMS ou e-mail podem ser seguros, mas exigem implementação impecável — algo que, infelizmente, apenas 7 das 150 empresas contatadas corrigiram após o alerta. Para o usuário comum, a rota mais prática é adotar autenticação multifator baseada em hardware. Chaves como YubiKey 5 NFC ou Feitian ePass FIDO2 funcionam em PCs, Macs, Android e iPhone, dispensam bateria e são reconhecidas por Google, Microsoft, Steam, entre outros.
Imagem: William R
Outra tendência é o passkey, padrão FIDO2 que já está no iOS 17, Android 14 e no Windows 11. Ele elimina senhas e SMS: o desbloqueio ocorre via biometria do próprio dispositivo, e a chave privada nunca sai do aparelho.
Dicas rápidas para não virar estatística
- Prefira apps que ofereçam 2FA por aplicativo autenticador (Google Authenticator, Microsoft Authenticator) ou chaves de segurança;
- Desconfie de qualquer link que pareça longo demais ou com final numérico sequencial;
- Evite receber SMS em chips virtuais gratuitos ou números temporários;
- Ative alertas de login em todos os serviços críticos — quanto antes souber de um acesso estranho, melhor.
Enquanto a indústria não padroniza o básico, o usuário precisa se proteger. E, se a sua plataforma favorita ainda insiste no SMS, pressione o suporte: uma simples chave física de R$ 200 pode valer mais que qualquer reembolso depois de um roubo de identidade.
Com informações de Hardware.com.br
