Neste artigo, vamos abordar um dos piores golpes de cartão SIM que existe: troca de SIM. Se o seu celular não estiver mais coberto, tenha medo: uma nova fraude telefônica conhecida como ‘troca de SIM’ está sendo usada para que um atacante cibernético duplique nosso número de telefone e use esse sistema para usurpar nossa identidade, autenticar-se em nosso banco e nos roubar todo o dinheiro.
O CEO do Twitter foi vítima de golpes de cartão SIM
Já existem vítimas de uma fraude que vem sendo utilizada para outros fins: Jack Dorsey, cofundador do Twitter, teve sua conta de serviço roubada com o mesmo sistema, o que mais uma vez evidencia a fragilidade de mecanismos como as mensagens SMS para dois. sistemas de autenticação de etapas. Originalmente eram uma boa opção, mas como dissemos no passado, é muito mais aconselhável usar aplicativos de autenticação independentes, e não o SMS que está cada vez mais vulnerável nessa área.
O que você NÃO deve fazer para evitar a troca do cartão SIM?
Existem dois problemas claros aqui: primeiro, que solicitar um SIM duplicado é relativamente simples. Em segundo lugar, que o uso de SMS como um sistema para propor autenticação em duas etapas ou dois fatores (2FA) há muito tempo é vulnerável a vários ataques, e este é apenas o último – mas provavelmente o mais preocupante – de todos. .
Isto técnica permite contornar as medidas de segurança que colocam o celular como instrumento de verificação de nossa identidade, o que é perigoso como vimos na esfera econômica, mas também em muitos outros cenários.
Estamos temporariamente desativando a capacidade de tweetar via SMS ou mensagem de texto para proteger as contas das pessoas.
– Suporte para Twitter (@TwitterSupport) 4 de setembro de 2019
Foi demonstrado nos dias de hoje, quando o cofundador e CEO do Twitter, Jack Dorsey, sofreu um ataque semelhante que de repente fez com que mensagens ofensivas e racistas aparecessem em sua conta do Twitter (@jack), que mais tarde foram excluídas.
A troca do cartão SIM pode resultar em roubo de identidade
O problema foi devido ao roubo de identidade que causou uma operadora de telefonia nos Estados Unidos – não é especificado qual – permitiu que o invasor obtivesse uma duplicata do SIM de Dorsey, o que por sua vez permitiu que esse invasor usasse a função de postar no Twitter através de mensagens SMS era uma das características originais do serviço.
As mensagens ofensivas provocaram uma reação imediata de Dorsey, que anunciou que o Twitter estava desativando a entrega de mensagens para a plataforma via SMS.
Proteja-se contra a troca de SIM: Como evitar a troca de SIM?
O problema desse ataque cibernético é que ele tem duas faces amplamente separadas, ambas com sua própria solução interdependente: se as duas não forem resolvidas, o problema continuará.
A primeira está naqueles que tratam dessas informações, as operadoras, que deveriam ser muito mais exigentes no que diz respeito ao fornecimento de duplicatas de um cartão SIM. As verificações de identidade aqui devem ser abrangentes para evitar os problemas que ocorreram com esses casos.
Bancos, instituições financeiras e qualquer outra plataforma que ainda use SMS como um sistema de autenticação em duas etapas também têm obrigações pendentes. É um método popular e conveniente, mas, como vimos, é muito vulnerável por um longo tempo, conforme apontado pelo especialista em segurança Bruce Schneier. É por esse motivo que todas essas empresas devem erradicar o SMS de seus sistemas de autenticação em duas etapas e usar outras alternativas.
Use 2FA / U2F contra ataque de troca SIM
Entre os mais recomendados no momento estão os aplicativos de autenticação que substituem o SMS e podem ser instalados em nossos celulares. Microsoft Authenticator, Google Authenticator ou Authy estão entre os mais conhecidos e, se pudermos usá-los – a plataforma com a qual trabalhamos deve oferecer suporte a essa opção – eles são muito mais seguros do que a autenticação via SMS.
Ainda mais interessantes são as chaves U2F (Universal 2nd Factor keys), um padrão de autenticação aberto que faz uso de chaves físicas e que tem o padrão FIDO2 como última implementação. Fabricantes como a Yubico são bem conhecidos por essas soluções, mas até o Google recentemente quis entrar nesse segmento com suas chaves de segurança Titan, embora tenha anunciado recentemente que um telefone Android também poderia se tornar uma chave de segurança.