Você se considera uma pessoa cuidadosa com a segurança online? Implementa a autenticação de dois fatores em todas as suas contas? Mesmo assim, há uma ameaça que pode comprometer sua proteção: a troca de SIM.
Esta é uma forma de ataque sofisticada, capaz de gerar consequências graves para as vítimas. Felizmente, existem medidas que podem ser tomadas para se proteger. A seguir, detalhamos como funciona e o que você pode fazer.
O Que é um Ataque de Troca de SIM?
A troca de SIM, em si, não é algo negativo. Quando você perde seu celular, a operadora realiza essa troca, transferindo seu número para um novo chip. É um procedimento padrão do atendimento ao cliente.
O problema surge quando criminosos descobrem maneiras de enganar as operadoras para que realizem essas trocas de SIM fraudulentamente. Assim, eles obtêm acesso a contas protegidas por autenticação de dois fatores (2FA) via SMS.
De repente, seu número passa a estar associado ao dispositivo de outra pessoa. O criminoso recebe todas as mensagens de texto e chamadas telefônicas que seriam destinadas a você.
A autenticação de dois fatores surgiu como uma solução para o problema do vazamento de senhas. Muitos sites não protegem as senhas adequadamente. Eles usam criptografia e “salt” para dificultar a leitura das senhas em seu formato original por terceiros.
O problema se agrava quando as pessoas usam as mesmas senhas em vários sites. Se um site é invadido, o invasor tem tudo o que precisa para atacar contas em outras plataformas, criando um efeito cascata.
Para aumentar a segurança, muitos serviços passaram a exigir senhas de uso único (OTP) para cada login. Estas OTPs são geradas no momento e são válidas apenas por um curto período de tempo.
Para maior conveniência, muitos sites enviam estas OTPs por SMS, o que gera novos riscos. Se um criminoso obtiver acesso ao seu número de telefone (seja roubando seu aparelho ou fazendo uma troca de SIM), ele terá acesso quase irrestrito à sua vida digital, incluindo suas contas bancárias.
Como funciona um ataque de troca de SIM? Geralmente, o criminoso precisa convencer um funcionário da operadora a transferir seu número para um chip que ele controla. Isso pode ser feito por telefone ou pessoalmente em uma loja.
Para isso, o criminoso precisa de informações sobre a vítima. Infelizmente, as redes sociais são repletas de detalhes biográficos que podem enganar perguntas de segurança. Informações como sua primeira escola, nome do animal de estimação, primeiro amor ou nome de solteira da mãe podem ser facilmente encontradas em seus perfis sociais. Se isso falhar, eles podem recorrer a golpes de phishing.
Ataques de troca de SIM são complexos e exigem tempo, o que os torna mais apropriados para ataques direcionados contra indivíduos específicos. Não são fáceis de serem feitos em larga escala. No entanto, existem casos de ataques massivos. Uma organização criminosa brasileira conseguiu trocar o SIM de 5.000 vítimas em um curto período de tempo.
Um golpe similar, conhecido como “portabilidade”, envolve sequestrar seu número “transferindo-o” para outra operadora.
Quem Corre Mais Risco?
Devido ao trabalho necessário, os ataques de troca de SIM costumam ter resultados muito impactantes. O objetivo quase sempre é financeiro.
Recentemente, corretoras de criptomoedas e carteiras virtuais se tornaram alvos populares. A popularidade se deve ao fato de que, diferente dos serviços financeiros tradicionais, não existe estorno em transações com Bitcoin. Uma vez enviado, o valor está perdido.
Além disso, qualquer pessoa pode criar uma carteira de criptomoedas sem precisar se registrar em um banco. É o mais próximo de anonimato que se pode chegar quando se trata de dinheiro, o que facilita a lavagem de fundos roubados.
Um caso notório é o do investidor de Bitcoin, Michael Tarpin, que perdeu 1.500 moedas em um ataque de troca de SIM. Isso aconteceu algumas semanas antes do Bitcoin atingir seu maior valor. Na época, o prejuízo de Tarpin era de mais de 24 milhões de dólares.
O jornalista Matthew Miller, da ZDNet, também foi vítima de um ataque de troca de SIM. O criminoso tentou comprar 25.000 dólares em Bitcoin usando a conta bancária de Miller. Felizmente, o banco conseguiu cancelar a transação antes que o dinheiro saísse de sua conta. No entanto, o invasor conseguiu destruir toda a vida online de Miller, incluindo contas do Google e do Twitter.
Em alguns casos, o objetivo do ataque é constranger a vítima. O fundador do Twitter e da Square, Jack Dorsey, aprendeu isso da pior forma em 30 de agosto de 2019. Hackers invadiram sua conta e postaram insultos racistas e antissemitas, que foram vistos por milhões de pessoas.
Como Saber se Ocorreu um Ataque?
O primeiro sinal de que você pode estar sofrendo um ataque de troca de SIM é a perda total de sinal no seu celular. Você não poderá receber ou enviar mensagens, fazer ligações ou acessar a internet através do seu plano de dados.
Em alguns casos, sua operadora pode enviar um SMS informando sobre a troca, momentos antes de transferir seu número para o novo chip. Foi o que aconteceu com Miller:
“Às 23h30 de uma segunda-feira, minha filha mais velha me acordou dizendo que minha conta do Twitter parecia ter sido hackeada. Acontece que a situação era bem pior do que isso.
Ao levantar da cama, peguei meu iPhone e vi um SMS dizendo: ‘Alerta da [Operadora]: O chip do número xxx-xxx-xxxx foi alterado. Se você não autorizou essa mudança, ligue para 611.’”
Se você ainda tiver acesso à sua conta de e-mail, também poderá começar a ver atividades suspeitas, como notificações de alteração de conta e pedidos online que você não fez.
Como Responder a um Ataque?
Ao perceber um ataque de troca de SIM, é crucial agir imediatamente para evitar maiores danos.
Primeiro, entre em contato com seu banco e administradoras de cartão de crédito e peça o bloqueio das suas contas. Isso impedirá que o criminoso use seus fundos em compras fraudulentas. Como você também foi vítima de roubo de identidade, entre em contato com os órgãos de proteção ao crédito e peça o bloqueio do seu crédito.
Em seguida, tente se antecipar aos invasores movendo o máximo de contas possível para uma nova conta de e-mail segura. Desvincule seu número de telefone antigo e use senhas fortes (e completamente novas). Para as contas que você não conseguir acessar a tempo, entre em contato com o atendimento ao cliente.
Finalmente, registre um boletim de ocorrência na polícia. Você é vítima de um crime. Muitas apólices de seguro residencial incluem proteção contra roubo de identidade. Registrar um boletim pode te ajudar a entrar com um pedido de indenização à sua seguradora.
Como se Proteger de um Ataque?
A prevenção é sempre o melhor caminho. A principal maneira de se proteger contra ataques de troca de SIM é evitar o uso do 2FA baseado em SMS. Felizmente, existem alternativas mais seguras.
Você pode usar um aplicativo autenticador, como o Google Authenticator. Para um nível extra de segurança, você pode optar por comprar um token físico de autenticação, como o YubiKey ou o Google Titan Key.
Se você precisar usar o 2FA via SMS ou chamada, considere ter um chip dedicado, que você não usa para outras finalidades. Outra opção é usar um número do Google Voice, embora não esteja disponível em todos os países.
Infelizmente, mesmo que você use o 2FA baseado em aplicativo ou um token físico, muitos serviços permitem contornar essa segurança e recuperar o acesso através de um SMS enviado ao seu número de telefone. Serviços como o Google Advanced Protection oferecem mais proteção para pessoas que correm maior risco, “como jornalistas, ativistas, líderes empresariais e equipes de campanhas políticas”.