As autoridades americanas estão alertando sobre o crescimento do golpe SIM Swap, esquema no qual criminosos usam técnicas de engenharia social para se fazer passar por clientes legítimos e enganar representantes de atendimento ao cliente de operadoras telefônicas a fim de obter um novo cartão SIM com a linha telefônica dos usuários. Uma vez que os criminosos se apropriam da linha, levando em conta que as chamadas e mensagens passar a estar sob seu controle, eles utilizam informações das vítimas, como endereço para correspondência, documentos de identidade ou outros dados, para solicitar uma nova senha e, dessa forma, acessar suas contas bancárias e outros serviços on-line. Além disso, os criminosos também podem receber o código de verificação único em sua linha via SMS. Desta forma, eles ganham acesso às contas para roubar dinheiro e outros dados pessoais.
Assim como o FBI destaca, embora esta forma de golpe não seja nova, os relatos de vítimas de golpes de SIM Swap aumentaram significativamente no último ano. Durante 2021, nos Estados Unidos, foram recebidos 1.611 relatos de vítimas que disseram ter sofrido roubo de dinheiro como consequência da clonagem de suas linhas telefônicas, com perdas que chegaram a quase US$ 68 milhões. Para se ter uma ideia, entre janeiro de 2018 e dezembro de 2020, houve 320 denúncias deste tipo de golpe, representando perdas de US$ 12 milhões.
O golpe de SIM Swap atualmente está ocorrendo em todo o mundo. Na Espanha, por exemplo, na semana passada, a Polícia Nacional confirmou a prisão de pelo menos oito pessoas que faziam parte de uma organização criminosa que clonou cartões SIM fazendo-se passar por clientes legítimos de empresas telefônicas, mesmo utilizando documentos falsificados.
Segundo as autoridades espanholas, a organização criminosa utilizou técnicas como phishing e smishing (via SMS) para se fazer passar por uma pessoa ou empresa de confiança a fim de obter informações da vítima, tais como senhas, detalhes de cartão de crédito ou cópias de documentos de identidade. Então, com estas informações, eles se comunicaram com a operadora telefônica fingindo ser usuários legítimos e assim obtendo um novo cartão SIM com o mesmo número de telefone.
O primeiro sinal que pode servir para as vítimas de SIM Swap é a perda do sinal de rede em seus dispositivos. Isso ocorre porque, uma vez que os criminosos ativam o novo cartão SIM em um novo dispositivo, a linha é automaticamente desativada.
Evidentemente, os mecanismos de validação de identidade das operadoras telefônicas são um pouco fracos e esta é provavelmente uma das razões mais importantes para entender o crescimento e a prevalência dessa forma de golpe.
Como pode ser fácil para um atacante realizar um ataque de SIM Swap
Em 2021, o especialista da ESET, Jake Moore, conduziu uma experiência que lhe permitiu confirmar como pode ser fácil para um atacante realizar um golpe de SIM Swap. Com o consentimento de um amigo que lhe permitiu realizar este teste, Jake coletou informações públicas sobre seu amigo no Facebook e no Instagram, tais como seu aniversário, o aniversário de seu filho, e a sua operadora telefônica.
Em seguida, ele entrou em contato com a operadora telefônica fazendo-se passar por seu amigo e inventou uma história de que seu telefone havia sido roubado. Ele então pediu para cancelar o cartão SIM e mudar sua linha para um novo cartão SIM. Ele então forneceu seu número de telefone e depois passou por uma instância de validação de identidade que consistiu em fornecer um código PIN de dois dígitos previamente acordado. Ele primeiro disse 11, que são os números finais do ano em que seu filho nasceu, mas a informação estava incorreta. O agente de atendimento ao cliente lhe deu outra chance e então ele tentou os dois últimos números do ano em que seu amigo nasceu e voilá! Ele acertou.
Como parte do teste, uma vez confirmado que tinha o controle da linha de seu amigo, sabendo qual serviço de hospedagem ele usava para o site de sua empresa (ele usava uma plataforma conhecida para criar sites) e sabendo seu endereço de e-mail, ele decidiu ver o que aconteceria se ele clicasse na opção "esqueceu sua senha". O que aconteceu foi que ele recebeu o código de verificação (via SMS) que lhe permitiu recuperar o acesso à conta e depois criou uma nova senha, assumindo o controle do site. Como explica o especialista, isso lhe permitiu realizar outras ações maliciosas, mas como parte do teste foi suficiente para demonstrar as consequências desse tipo de ataque e como pode ser fácil para os atacantes.
Como se proteger de ataques de SIM Swap
Como Moore explica, há dois pontos-chave a ter em conta para proteger as contas no caso de um ataque de clonagem de chips. A primeira é não usar uma data ou número que alguém possa associar com você como um PIN ou código de verificação. A segunda é tentar ao máximo evitar a autenticação em duas etapas via SMS e, em vez disso, usar opções como um aplicativo de autenticação ou uma chave de segurança física.