Se pararmos para pensar sobre tudo que salvamos no espaço de armazenamento de nossos smartphones e quais informações temos mais medo de perder, muitos usuários provavelmente apontariam seus aplicativos de redes sociais como prioridade diante de outras coisas. Entretanto, nem todos sabem que há algo em nosso celular que pode ser de grande interesse para os criminosos e que pode transformar um sequestro de conta e de informações em um roubo de dinheiro de nossas contas bancárias ou até mesmo de carteiras de criptomoedas.
Etapas do SIM Swap
Devemos ter em mente que essa técnica não é consequência de uma falha de segurança em nossos dispositivos, mas sim da falta de implementação de protocolos de verificação rigorosos ao solicitar uma cópia de nosso cartão SIM. Além disso, essa técnica é utilizada em conjunto com outras técnicas de engenharia social para obter benefícios, pois o que os criminosos procuram neste caso é o acesso aos códigos de verificação que as empresas, plataformas e bancos costumam enviar para nossos smartphones.
Na primeira etapa, os criminosos tentam obter os dados de acesso do usuário, geralmente os dados relacionados a serviços de home banking, a fim de maximizar o ganho financeiro, embora, como veremos a seguir, este não seja o único objetivo. O roubo de dados de acesso é frequentemente realizado através de técnicas tradicionais de engenharia social, como, por exemplo, utilizando sites falsos para os quais o usuário é redirecionado através de um link enviado em um e-mail ou por meio de um aplicativo falso que e faz passar por uma instituição bancária.
Ao conseguir pôr as mãos nos dados de acesso da vítima, os criminosos tentam obter clonar o SIM do usuário a fim de receber os códigos de verificação por SMS (autenticação de dois fatores). Para isso, os cibercriminosos se aproveitam das fracas medidas de verificação de identidade que algumas operadoras telefônicas normalmente solicitam. Após coletar as informações pessoais das vítimas, por exemplo, através de redes sociais, os criminosos fazem uma ligação ou se apresentam fisicamente em uma loja da empresa telefônica responsável pelo SIM que desejam clonar para solicitar um novo chip com o mesmo número. Normalmente, os usuários só percebem que existe um problema quando não têm mais o sinal da linha telefônica em seu celular.
Quase sempre os criminosos conseguem obter um cartão sim com o mesmo número sem qualquer complicação; ou seja, isso é um sério problema. Ao obter o chip clonado, os criminosos podem acessar a conta bancária da vítima, fazer transferências ou até mesmo solicitar crédito em nome do usuário. Quando se trata de confirmar a transação, eles não terão nenhum problema, pois recebem as mensagens com a autenticação de dois fatores (2FA) no SIM clonado.
Outros ataques derivados do SIM Swap
Os criminosos não estão apenas procurando acessar as contas bancárias das vítimas. Eles também costumam procurar por outros ativos valiosos como carteiras de criptomoedas ou contas de serviços on-line, como o Google, por exemplo.
Neste último caso, caso os cibercriminosos consigam obter os dados de acesso da vítima, eles podem burlar o 2FA solicitando um código de apenas um uso que é enviado por SMS. Ao acessarem à conta da vítima, eles podem tomar o controle da conta de e-mail, contatos, etc.
O mesmo se aplica ao acesso a outros serviços, tais como Facebook, Instagram, Tik Tok ou similares, que podem arruinar a reputação on-line da vítima e podem ser usados por criminosos para chantageá-las. Eles podem, por exemplo, obter fotos e conversas comprometedoras e ameaçar expor todo o conteúdo na web, a menos que a vítima aceite pagar um valor em dinheiro em troca do material roubado.
Não podemos esquecer de outros aplicativos que normalmente usamos para realizara transferências e que também permitem o armazenamento de dinheiro. Um exemplo claro seria o PayPal, que também incorpora um 2FA na forma de uma mensagem SMS e, caso os criminosos obtenham as credenciais de acesso e um SIM clonado, eles podem não apenas retirar os fundos armazenados, mas também se fazer passar por pela vítima para solicitar empréstimos, por exemplo.
O que fazer ao seu vítima de uma fraude de SIM swapping
Para combater essa ameaça, é necessário repensar completamente o procedimento de verificação de identidade que muitos bancos e serviços on-line ainda utilizam. Infelizmente, nem sempre é possível usar o método 2FA que queremos e isto nos obriga a tomar medidas mais drásticas. Uma dessas medidas seria contatar nossa operadora telefônica e garantir de que nosso cartão SIM não será clonado, a menos que o solicitemos pessoalmente em uma loja física com um documento que nos possa identificar.
De qualquer forma, para que essa medida funcione, a operadora telefônica deve ser capaz de cumprir plenamente nossas exigências, o que é bastante difícil em alguns casos. Recentemente, houveram casos em que os criminosos contaram com a ajuda de funcionários da operadora – situações como esta faz com que seja mais difícil evitar esse tipo de incidente.
Felizmente, as autoridades policiais estão cientes dessa técnica e de vez em quando vemos a prisão de grupos criminosos que realizam esse tipo de crime. Uma das operações mais recentes ocorreu no fim da semana passada na Espanha pela Guardia Civil, e levou à prisão de doze pessoas de diferentes nacionalidades, que supostamente lucraram mais de três milhões de euros com esse tipo de esquema criminoso.
Veja mais: