Bancos de Singapura e Passkeys: Substituindo o SMS OTP

A Autoridade Monetária de Singapura (MAS) anunciou que todos os principais bancos de retalho do país terão de eliminar gradualmente os OTPs e substituí-los por “tokens digitais” nos próximos três meses. Esta medida, em colaboração com a Associação de Bancos de Singapura (ABS), visa proteger os consumidores contra phishing e outras fraudes que custaram mais de 14 milhões de dólares em 2023. Neste post, vamos discutir:

• Descontinuar o OTP: Por que a MAS prioriza a descontinuação dos OTPs?
• Tokens Digitais: O que são tokens digitais e por que são mais seguros?
• Passkeys: As passkeys poderiam ajudar a cumprir os novos requisitos?

Vamos começar por analisar mais de perto o anúncio da Autoridade Monetária de Singapura (MAS) “Bancos em Singapura Reforçam a Resiliência Contra Fraudes de Phishing”.

Em 9 de julho de 2024, a Autoridade Monetária de Singapura (MAS) e a Associação de Bancos de Singapura (ABS) anunciaram um passo significativo para reforçar a segurança do banking digital, eliminando gradualmente o uso de senhas de uso único (OTPs). Esta transição ocorrerá progressivamente ao longo dos próximos três meses e visa proteger melhor os consumidores contra fraudes de phishing, que se tornaram a principal ameaça no banking digital. Embora o anúncio se refira apenas a “Senhas de Uso Único” e OTPs, ele visa especificamente os SMS OTPs.

Os clientes que ativaram os seus tokens digitais nos seus dispositivos móveis serão agora obrigados a usar esses tokens para iniciar sessão nas suas contas bancárias através de navegadores ou aplicações de banking móvel. O token digital autenticará os logins dos clientes sem a necessidade de OTPs, que os golpistas podem roubar ou enganar os clientes para que os revelem. Daremos mais detalhes sobre o que são tokens digitais no próximo capítulo.

Os avanços tecnológicos e as técnicas sofisticadas de phishing superaram a segurança que os SMS OTPs antes ofereciam. Os golpistas agora criam sites de bancos falsos que se assemelham muito aos sites genuínos, atraindo os clientes para que insiram os seus OTPs e outras credenciais. A mudança para fatores de autenticação resistentes a phishing reforça a segurança, tornando significativamente mais difícil para os golpistas obterem acesso não autorizado à conta de um cliente.

As fraudes de phishing continuam a ser uma preocupação persistente em Singapura. Os bancos continuam a colaborar de perto com a MAS e a Força Policial de Singapura para desenvolver e introduzir medidas que reforcem a resistência coletiva contra o cenário de fraudes em evolução. A Sra. Ong-Ang Ai Boon, Diretora da ABS, enfatizou que, embora a nova medida possa introduzir algum inconveniente, é um passo necessário para prevenir fraudes e proteger os clientes.

A Sra. Loo Siew Yee, Diretora-Geral Adjunta (Política, Pagamentos e Crime Financeiro) da MAS, destacou que a MAS está empenhada em trabalhar de perto com os bancos para proteger os consumidores contra fraudes no banking digital. Ela observou que esta última medida complementará as boas práticas de higiene cibernética que os clientes devem continuar a seguir, como a proteção das suas credenciais bancárias.

Esta medida da MAS e da ABS mostra o seu compromisso em melhorar a segurança do banking digital, exigindo o uso de tokens digitais. O que falta no anúncio é uma definição clara sobre quais são os requisitos para os tokens digitais em termos de autenticação. Vamos analisar isso mais de perto na próxima secção.

Os tokens digitais representam um avanço na segurança online, fornecendo uma alternativa mais forte às tradicionais senhas de uso único (OTPs) por SMS. Ao contrário dos SMS OTPs, que são transmitidos via SMS (ou e-mail) e podem ser intercetados ou alvo de phishing, os tokens digitais estão vinculados a um dispositivo específico, geralmente um telemóvel, garantindo que apenas o proprietário do dispositivo possa gerar os códigos de autenticação necessários.

Os tokens digitais podem operar de diferentes maneiras:

• Token digital baseado em tempo (menos seguro): Estes tokens são códigos dinâmicos baseados em tempo que são usados para autenticar a identidade de um utilizador. São produzidos por uma aplicação nativa no dispositivo móvel do utilizador, como a aplicação proprietária de um banco – na maioria das implementações, o código real já não é mostrado, mas apenas uma notificação push que pede o consentimento do utilizador com os detalhes da transação e é então transmitida de volta para o servidor do banco.
• Token digital criptográfico (mais seguro): Um token digital criptográfico representa um método de autenticação ainda mais seguro em comparação com os tokens baseados em tempo. Utiliza um par de chaves pública-privada armazenado na aplicação ou no enclave seguro do telemóvel. Durante o processo de autenticação, o servidor do banco envia um desafio para o dispositivo do utilizador. O dispositivo usa então a sua chave privada para assinar este desafio, e a resposta assinada é enviada de volta para o servidor. O servidor verifica a assinatura usando a chave pública correspondente. Este método garante que, mesmo que um atacante intercete a comunicação, não consegue replicar o processo de autenticação sem acesso à chave privada do utilizador, que permanece armazenada de forma segura no dispositivo.

A segurança dos tokens digitais é mais forte devido a várias características chave:

1. Vinculação ao Dispositivo: O token está associado a um dispositivo específico, o que significa que os códigos de autenticação só podem ser gerados por esse dispositivo. Esta vinculação ao dispositivo torna extremamente difícil para os atacantes replicarem ou transferirem o token para outro dispositivo.
2. Configuração Multifator: A configuração inicial do token digital envolve frequentemente o uso de OTPs enviados por SMS e e-mail para verificar a identidade do utilizador, além do PIN bancário (alguns bancos também retiram tokens físicos com esta abordagem. Nesse caso, o token OTP físico pode ser usado). Uma vez ativado o token, ele torna-se o método principal de autenticação, eliminando a necessidade de futuros OTPs e as suas vulnerabilidades associadas. Por exemplo, o DBS Bank usa uma combinação de OTPs por SMS e e-mail durante a configuração inicial do token digital, após a qual a autenticação contínua depende exclusivamente do token.
3. Proteção baseada em tempo ou criptográfica: Os tokens digitais empregam algoritmos criptográficos fortes ou algoritmos baseados em tempo (TOTP) para gerar os códigos de autenticação, garantindo que, mesmo que a comunicação entre o dispositivo e o servidor de autenticação seja intercetada, os códigos não possam ser facilmente decifrados ou falsificados.

O DBS Bank, uma importante instituição financeira em Singapura, implementou com sucesso tokens digitais para aumentar a segurança dos seus clientes. O banco solicita:

• Algo que o utilizador sabe: PIN
• Algo que o utilizador tem: SMS OTP (acesso ao telemóvel associado ao número de telefone)
• Algo que o utilizador tem: e-mail OTP (acesso ao e-mail associado à conta)

para configurar o token digital no dispositivo móvel de um cliente. Uma vez configurado, o token digital torna-se o único método para autenticar logins e transações, mitigando eficazmente o risco de ataques de phishing que visam os OTPs.

Caso o endereço de e-mail conectado não esteja atualizado e um token físico não esteja disponível, o utilizador pode configurar o token digital com opções de recurso:

As opções de recurso incluem a identidade digital com o Singpass, o uso de uma Máquina de Atendimento por Vídeo (VTM) numa agência próxima do cliente ou a solicitação de um código de registo a ser enviado fisicamente por correio no prazo de 3 a 5 dias.

A mudança de OTPs para tokens digitais aborda várias vulnerabilidades associadas aos métodos de autenticação tradicionais:

• Resistência Parcial ao Phishing: Como os tokens digitais são gerados e usados diretamente no dispositivo do utilizador, não há risco de interceção via phishing. Mesmo que um golpista engane um utilizador para que forneça os detalhes de login, ele não consegue gerar o código de autenticação necessário sem acesso físico ao dispositivo.
• Superfície de Ataque Reduzida: Ao eliminar a necessidade de SMS e e-mail como canais de transmissão para códigos de autenticação, os tokens digitais reduzem a superfície de ataque que os golpistas podem explorar.
• Conveniência para o Utilizador: Embora a configuração inicial possa exigir passos extras, o uso contínuo de tokens digitais é simples e conveniente para os utilizadores. Eles já não precisam de esperar por um OTP para chegar via SMS ou e-mail, que por vezes pode ser atrasado ou bloqueado.

Embora o phishing seja parcialmente melhorado, o novo risco agora é que os clientes se tornem vítimas de ataques de fadiga de MFA por estarem continuamente habituados a pedidos de autenticação de token digital, um atacante pode tirar vantagem disso e enviar tal pedido a partir de uma página de phishing.

É por essa razão que as grandes empresas de tecnologia (por exemplo, Google e Microsoft) que sofreram muitas violações começaram a introduzir desafios nessas notificações push, por exemplo, escolher o número certo para proteger os clientes.

Os tokens digitais oferecem um método mais seguro para autenticação no cenário do banking digital, mas não eliminam completamente o risco de phishing. Um atacante ainda poderia enganar a vítima para autenticar o seu acesso, convencendo-a a confirmar os pedidos de token digital. O que a implementação do DBS Bank mostrou é que é possível inscrever facilmente os clientes noutra forma de autenticação usando fatores existentes combinados. A questão é, nesse ponto, por que é que a MAS e o DBS Bank não introduzem as passkeys? Vamos analisar isso.

Como vimos, os tokens digitais representam um passo em frente na segurança das transações bancárias digitais em comparação com os tradicionais SMS OTPs. No entanto, embora os tokens digitais forneçam funcionalidades de segurança melhoradas, eles não são completamente resistentes a phishing. Um atacante ainda poderia enganar uma vítima para autenticar um pedido fraudulento, convencendo-a a confirmar os prompts do token digital. Esta vulnerabilidade contínua sugere que os tokens digitais, embora sejam uma melhoria, não constituem um passo suficientemente ousado para garantir a segurança do online banking.

As passkeys oferecem um método de autenticação verdadeiramente resistente a phishing. Ao contrário dos tokens digitais, as passkeys são inerentemente resistentes a ataques de phishing porque só podem ser usadas no site ou aplicação correta. Isso garante que os utilizadores não possam ser enganados para inserir as suas credenciais num site fraudulento. As passkeys baseiam-se em criptografia de chave pública-privada, onde a chave privada é armazenada de forma segura no dispositivo do utilizador e encriptada de forma segura na nuvem do sistema operativo associado. A chave pública é partilhada com o serviço de autenticação.

Veja como as passkeys melhoram a segurança:

1. Resistência a Phishing: As passkeys eliminam o risco de inserir detalhes de autenticação em sites falsos. Como o processo de autenticação só pode prosseguir no site legítimo que emitiu o desafio, as tentativas de phishing tornam-se ineficazes. É tecnicamente impossível usar uma passkey na página errada e também é impossível para um consumidor médio exportar uma passkey para uma parte estrangeira.
2. Suporte para Múltiplos Dispositivos: Ao contrário dos tokens digitais, que estão frequentemente vinculados a um único dispositivo, as passkeys podem ser sincronizadas entre dispositivos autenticados na mesma nuvem ou gestor de senhas de forma segura. Isso proporciona flexibilidade e conveniência para os utilizadores que acedem aos seus serviços bancários a partir de vários dispositivos.
3. Segurança Robusta do Dispositivo: As passkeys exigem que a 2FA esteja ativada nos ecossistemas de telemóveis (como iOS ou Android). Esta camada adicional de segurança garante que, mesmo que um dispositivo seja comprometido, o atacante precisaria de contornar a 2FA do dispositivo para obter acesso às passkeys. Já elaborámos os detalhes ao explicar os detalhes de SCA/PSD2 sobre passkeys e explicámos por que as passkeys sincronizadas podem ser usadas para o setor bancário.

A Austrália reconheceu a importância da autenticação resistente a phishing no seu padrão Essential Eight, que descreve as melhores práticas para a cibersegurança. O padrão menciona especificamente a necessidade de requisitos técnicos que mitiguem os riscos de phishing, posicionando a Austrália como líder em cibersegurança na região da Ásia-Pacífico. Singapura, com a sua infraestrutura digital avançada, deveria seguir o exemplo da Austrália, integrando as passkeys no seu padrão e recomendações para empresas. Isso não só fortaleceria a segurança, mas também alinharia Singapura com as melhores práticas globais em segurança digital.

O setor bancário aguarda orientações regulatórias claras que permitam explicitamente o uso de passkeys sincronizadas no setor bancário. Tal medida daria aos bancos a confiança para adotar esta tecnologia avançada e oferecer aos seus clientes um método de autenticação verdadeiramente seguro e conveniente. A Autoridade Monetária de Singapura (MAS) tem a oportunidade de estabelecer um novo padrão em segurança bancária digital ao endossar o uso de passkeys. Ao fazê-lo, a MAS sinalizaria o seu compromisso em ser pioneira em medidas de segurança de ponta, garantindo que Singapura permaneça na vanguarda da inovação bancária digital.

Converter os utilizadores para tokens digitais mais seguros é um passo significativo para melhorar a segurança do online banking em Singapura. No entanto, olhando para o futuro, é essencial que os bancos comecem a adotar as passkeys, que se tornarão o padrão de facto para a autenticação na web. Aqui estão algumas recomendações chave para os bancos de Singapura prepararem para o futuro a sua infraestrutura de segurança:

1. Começar a Recolher Passkeys Cedo: Enquanto fazem a transição para os tokens digitais, os bancos devem também iniciar o processo de recolha de passkeys dos utilizadores. Esta abordagem proativa preparará os bancos para uma transição suave assim que as passkeys se tornarem amplamente aceites e adotadas. Ao integrar a recolha de passkeys nos processos atuais de onboarding e autenticação, os bancos podem construir gradualmente uma base de dados segura de passkeys.
2. Substituir PINs por Passkeys: Um passo prático e imediato para a adoção de passkeys é substituir os PINs tradicionais por passkeys. As passkeys oferecem uma alternativa mais segura e conveniente aos PINs, aproveitando a criptografia de chave pública-privada. Ao implementar as passkeys como o método principal de autenticação, os bancos podem melhorar a segurança enquanto proporcionam uma experiência de utilizador mais fluida.
3. Utilizar Passkeys como Primeiro Fator ou Medida de Risco Adicional: As passkeys podem ser utilizadas como um primeiro fator de autenticação ou como uma medida de risco adicional em configurações de autenticação multifator (MFA). Incorporar as passkeys no processo de autenticação fornecerá uma camada extra de segurança, tornando significativamente mais difícil para os atacantes comprometerem as contas dos utilizadores. Os bancos podem começar por oferecer as passkeys como uma funcionalidade de segurança opcional e gradualmente torná-las uma parte padrão do processo de autenticação.
4. Educar os Clientes sobre as Passkeys: A implementação bem-sucedida de passkeys requer a consciencialização e aceitação dos clientes. Os bancos devem investir em campanhas educativas para informar os clientes sobre os benefícios e as funcionalidades de segurança das passkeys. Uma comunicação clara sobre como as passkeys funcionam e o seu papel na proteção contra ataques de phishing incentivará mais clientes a adotar esta tecnologia.
5. Colaborar com Reguladores e Pares da Indústria: Os bancos devem colaborar ativamente com órgãos reguladores como a Autoridade Monetária de Singapura (MAS) e pares da indústria para estabelecer diretrizes padronizadas para a implementação de passkeys. Esforços conjuntos garantirão uma abordagem consistente e segura em todo o setor bancário, melhorando a segurança geral do banking digital em Singapura.
6. Investir em Infraestrutura e Sistemas de Suporte: A implementação de passkeys requer uma infraestrutura e sistemas de suporte robustos. Os bancos devem investir na tecnologia e nos recursos necessários para suportar a autenticação com passkeys, incluindo sistemas seguros de gestão de chaves e integração com as estruturas de autenticação existentes. Garantir uma experiência de utilizador suave e segura será crucial para a adoção generalizada.
7. Monitorizar e Adaptar-se a Ameaças Emergentes: Monitorizar regularmente o cenário de ameaças e atualizar as medidas de segurança em conformidade ajudará os bancos a manterem-se à frente de riscos potenciais. As passkeys, combinadas com melhorias contínuas de segurança, fornecerão uma defesa resiliente contra táticas emergentes de phishing e fraude.

Seguindo estas recomendações, a segurança da autenticação no setor bancário de Singapura pode aumentar ainda mais e também encontrar a sua integração em quadros de conformidade e padrões como o Safe App Standard, que atualmente não menciona as passkeys como tecnologia de autenticação.

Em resumo, o anúncio da Autoridade Monetária de Singapura (MAS) de eliminar gradualmente os SMS OTPs e fazer a transição para tokens digitais marca um passo crucial no fortalecimento da segurança do banking digital. Esta medida aborda a ameaça crescente de fraudes de phishing, que têm impactado significativamente os consumidores e o setor bancário.

• Por que descontinuar o OTP: A MAS prioriza a descontinuação dos OTPs devido à sua suscetibilidade a phishing e interceção. Os golpistas exploraram as vulnerabilidades dos SMS OTPs, levando à necessidade de métodos de autenticação mais seguros.
• O que são Tokens Digitais: Os tokens digitais fornecem segurança melhorada por estarem vinculados ao dispositivo e empregarem algoritmos criptográficos fortes. Isso os torna mais resilientes a ataques de phishing em comparação com os OTPs tradicionais. Eles também oferecem conveniência e reduzem a superfície de ataque, eliminando a necessidade de códigos de autenticação baseados em SMS ou e-mail.
• As Passkeys podem ajudar o setor bancário de Singapura: As passkeys surgem como uma alternativa superior, oferecendo uma autenticação robusta e resistente a phishing. Ao utilizar criptografia de chave pública-privada, as passkeys garantem que a autenticação só pode ocorrer em sites legítimos, mitigando significativamente os riscos de phishing. O seu suporte para múltiplos dispositivos e a forte segurança do dispositivo aumentam ainda mais o seu apelo.

Ao explorarmos as vantagens dos tokens digitais, notámos as suas limitações em eliminar completamente os riscos de phishing. As passkeys, por outro lado, fornecem uma solução abrangente, alinhando-se com as melhores práticas internacionais em segurança digital. Embora a transição para tokens digitais seja um passo em frente, o objetivo final deve ser a adoção das passkeys como o futuro padrão para a autenticação bancária digital.