A troca de SIM é um tipo de fraude que permite que criminosos roubem sua identidade sequestrando o número de telefone obtendo uma cópia do seu cartão SIM.
Infelizmente, nem todos estão cientes de que existe algo em nosso celular que pode ser de grande interesse para criminosos e que pode transformar o roubo de dados e de identidade em roubo de dinheiro de nossa conta bancária ou carteira de criptomoeda.
As fases de troca de SIM
Esta técnica não é consequência de uma falha de segurança em nossos dispositivos, mas sim da falta de implementação de protocolos de verificação rígidos ao solicitar uma cópia do nosso cartão SIM. Além disso, esta técnica é utilizada em conjunto com outras técnicas de engenharia social para obter benefícios, uma vez que o que os criminosos procuram neste caso é aceder aos códigos de verificação que as empresas, plataformas e entidades bancárias nos costumam enviar para os nossos dispositivos móveis.
Em uma primeira fase, os criminosos tentam obter as credenciais do usuário; normalmente aqueles relacionados ao banco online para maximizar o benefício econômico, embora, como veremos adiante, este não seja o único objetivo. O roubo de credenciais costuma ser realizado por meio de técnicas tradicionais de engenharia social, como, por exemplo, por meio de sites fraudulentos para os quais o usuário é redirecionado a partir de um link enviado por e-mail ou por meio de um falso aplicativo móvel que personifica a identidade do banco da entidade.
Uma vez obtidas as credenciais, os criminosos tentam obter um clone do SIM da vítima para receber os códigos de verificação por SMS (duplo fator de autenticação). Para isso, os cibercriminosos aproveitam as medidas precárias de verificação de identidade que algumas operadoras costumam solicitar. Após coletar os dados pessoais de suas vítimas, por exemplo, nas redes sociais, eles fazem uma ligação ou comparecem fisicamente em uma loja da operadora de telefonia responsável pelo SIM que desejam clonar para solicitar uma segunda via do cartão. Muitas vezes acontece que os usuários percebem que há um problema quando deixam de ter sinal no telefone.
TAMBÉM: Leia como Jack Dorsey perdeu sua conta no Twitter com um ataque de troca de SIM e como evitá-lo aqui.
Não é incomum ver que os criminosos não têm muitas barreiras quando se trata de obter essa duplicata do SIM e isso é um problema sério. Uma vez obtida essa duplicata, os criminosos podem entrar na conta bancária da vítima, fazer transferências ou até mesmo solicitar créditos em seu nome. Ao confirmar a operação, eles não terão problemas, pois recebem as mensagens com o duplo fator de autenticação (2FA) no SIM clonado.
Outros tipos de ataques de troca SIM
Os criminosos não procuram apenas acessar as contas bancárias de suas vítimas. Outros ativos valiosos incluem carteiras de criptomoedas ou contas de serviço online, como; por exemplo, os do Google.
No último caso, se os cibercriminosos obtiveram as credenciais da vítima, eles podem contornar o 2FA solicitando um código único enviado por SMS. Depois de acessar a conta, eles podem ter controle de nossa conta de e-mail, contatos, etc.
O mesmo pode ser dito do acesso a outros serviços, como Facebook, Instagram, Tik Tok ou similares; algo que pode arruinar a reputação online da vítima e de que os criminosos se aproveitam para chantageá-la. Eles podem, por exemplo, obter fotos e conversas envolventes e ameaçar torná-las públicas, a menos que uma quantia seja aceita.
Também não devemos esquecer outros aplicativos que costumamos usar para fazer transferências e que também nos permitem armazenar dinheiro. Um exemplo claro seria o PayPal, que também incorpora um 2FA na forma de uma mensagem SMS e que, caso os criminosos obtivessem as credenciais de acesso e uma clonagem do SIM, eles poderiam não apenas sacar os fundos economizados, mas também se passar por nós para solicitar dinheiro de nossos contatos.
Enfrentando a troca de SIM
O combate a essa ameaça exigiria um repensar completo do procedimento de verificação de identidade que ainda é realizado por muitos bancos e serviços online. Infelizmente, nem sempre é possível usar o método 2FA que queremos usar e isso nos obriga a tomar medidas mais drásticas. Uma dessas medidas seria entrar em contato com a nossa operadora e certificar-se de que nenhuma clonagem do nosso cartão será realizada a menos que solicitemos pessoalmente em uma loja ou escritório com um documento que nos identifique.
Em qualquer caso, para que esta medida funcione, o operador deve ser capaz de cumprir rigorosamente os nossos requisitos, o que é bastante difícil em alguns casos. Como se não bastasse, já foram conhecidos casos em que criminosos contaram com a colaboração de funcionários da operadora de telefonia móvel, dificultando o bloqueio dessa má prática.