No início deste ano, o mercado acompanhou a divulgação de uma fraude que causou prejuízo de R$ 300 mil a um único usuário. Um anúncio de venda de console PlayStation 5 pela metade do preço, na plataforma Mercado Livre, causou o prejuízo ao vendedor. Golpistas invadiram a conta dele após roubarem o número do celular, no que aparentemente foi um ataque de SIM Swapping – o golpe de portabilidade. O caso ocorreu no final de 2022 e, de acordo com a vítima, foi solucionado no dia 05 de janeiro, após grande repercussão.
Segundo o vendedor, que pediu para não ser identificado pela reportagem do canal Tilt UOL, os golpistas conseguiram efetivar a transferência de seu número do celular para outro chip. E, em posse do número, tiveram acesso a outras informações.
Este ataque é chamado de SIM Swapping. Resumidamente, nesta ação, os hackers exploram um recurso cada vez mais adotado pelas empresas para proteger logins em aplicativos e serviços. Eles exploram o duplo ou múltiplos fatores de autenticação. São aqueles códigos únicos enviados pelos serviços para os smartphones dos clientes como uma segunda maneira conveniente de verificar as identidades do usuário.
Explorando esta facilidade e sempre dispostos a adaptar suas táticas, os agentes de ameaças criaram uma maneira de aproveitar a prevalência de smartphones no gerenciamento de riscos cibernéticos por meio de ataques de troca de SIM.
O que são ataques de troca de SIM ou SIM Swapping?
Os ataques de troca de SIM ocorrem quando um fraudador convence uma operadora de celular a trocar o número de telefone e a conta da vítima para um novo cartão SIM sob o controle do fraudador. Um módulo de identidade de assinante (SIM) é um cartão que funciona como um chip de memória portátil, armazenando informações que associam um determinado dispositivo a uma conta de cliente.
As técnicas de engenharia social são essenciais para o sucesso dos ataques de troca de SIM, porque os agentes de ameaças precisam representar a vítima de forma convincente e persuadir o agente de atendimento ao cliente da operadora de telefonia móvel a fazer a alteração.
Muitas vezes, o pretexto usado nesses golpes é ligar para a operadora de telefonia e informar o agente de atendimento ao cliente sobre um SIM perdido ou danificado. O agente da ameaça solicita a portabilidade do número de telefone do cliente para um novo SIM que ele comprou na loja. Outro pretexto potencial é que o cliente aparentemente comprou um novo dispositivo que requer um tipo diferente de cartão SIM.
Algumas operadoras de telefonia têm medidas extras de segurança para verificar a identidade de um cliente antes de mover qualquer número de telefone e conta para um cartão SIM diferente. O processo usual é pedir uma data de nascimento, endereço ou talvez um código de identificação pessoal (PIN) para verificação. Infelizmente, os agentes de ameaças tendem a encontrar estas informações sobre vítimas individuais usando uma variedade de métodos possíveis, incluindo pesquisas online, vazamentos de dados da dark web, malware e e-mails de phishing.
Consequências potenciais do SIM Swapping
Quando os ataques de troca de SIM são bem-sucedidos, os invasores podem assumir a conta de telefone celular de um cliente e receber mensagens de texto ou chamadas telefônicas destinadas a esta pessoa.
O sequestro de números de telefone celular é uma má notícia por vários motivos:
Ignorando a MFA: a autenticação multifator desempenha um papel importante na autenticação moderna, exigindo duas ou mais categorias de evidência para verificar as identidades do usuário no ponto de login em aplicativos e serviços.
Em um mundo onde uma combinação de pares de nome de usuário-senha e códigos únicos enviados para smartphones são a implementação MFA mais predominante, assumir o controle do número de telefone de alguém pode ajudar a contornar o MFA (desde que o fraudador também possua a senha e o nome de usuário da vítima).
Smishing: Outra consequência dos ataques de troca de SIM é o potencial para conduzir outras táticas de engenharia social, como smishing. Depois de assumir parcialmente a identidade de uma determinada pessoa ao assumir o controle de seu número de telefone, os criminosos podem enviar mensagens de texto para os contatos da vítima, como colegas de trabalho, e fazer com que revelem informações confidenciais.
Fraude: quando serviços bancários online, criptomoedas ou outras contas financeiras estão vinculadas a números de telefone específicos, também existe a possibilidade de fraudadores iniciarem transações fraudulentas.
Ataques de troca de SIM: estatísticas e incidentes
Um anúncio de serviço público do FBI em fevereiro de 2022 destacou um aumento nos esquemas de troca de SIM voltados para cidadãos americanos. Esses esquemas geralmente envolviam o roubo de dinheiro de contas fiduciárias (moeda emitida pelo governo não lastreada por uma mercadoria como o ouro) e de contas em moeda virtual. Somente em 2021, o Internet Crime Complaint Center (IC3) do FBI recebeu mais de 1.600 reclamações sobre ataques de troca de SIM, cujas perdas somaram mais de US$ 68 milhões.
Provavelmente, o exemplo mais conhecido de um ataque de troca de SIM ocorreu em 2019, quando hackers invadiram a própria conta do Twitter do presidente-executivo do Twitter, Jack Dorsey. A atriz Jessica Alba e o ativista dos direitos civis DeRay Mckesson foram outras vítimas de destaque.
Em 2021, 10 indivíduos que faziam parte de uma quadrilha internacional de crimes de troca de SIM foram presos depois de roubar até US$ 100 milhões de cidadãos americanos. Esses ataques de troca de SIM tiveram como alvo milhares de indivíduos, de influenciadores a estrelas do esporte e suas famílias. Uma investigação colaborativa de um ano entre a aplicação da lei em cinco países resultou nas 10 prisões.
Como se proteger contra ataques de troca de SIM
Os ataques de troca de SIM, compreensivelmente, causam preocupação entre os líderes de segurança cibernética, pesquisadores e a população em geral. Em um cenário de ameaças cibernéticas complexas, a troca de SIM é assustadoramente simples de realizar e, ao mesmo tempo, bastante eficaz, conforme as estatísticas divulgadas pelo FBI e pelo alto escalão ile natureza de algumas vítimas ambos demonstram.
Como se proteger contra ataques de troca de SIM?
As empresas devem considerar implementações de autenticação multifator alternativas que sejam menos fáceis de explorar. Vincular logins de aplicativos a varreduras biométricas ou tokens na posse física de um usuário traria segurança extra, talvez com apenas um leve impacto na experiência do usuário.
Os indivíduos devem limitar as informações que compartilham em plataformas de mídia social, incluindo sites de redes profissionais como o LinkedIn. É prudente optar pelas configurações de privacidade mais restritivas para que apenas amigos existentes possam visualizar determinadas informações. Considere não postar certas informações, como números de telefone ou endereços.
Práticas eficazes de higiene de senha podem ajudar a garantir que as pessoas não exponham suas contas a um possível controle. Essas práticas incluem não reutilizar as mesmas senhas em vários serviços e definir senhas fortes que não sejam facilmente decifráveis.
As operadoras de telefonia móvel devem investir adequadamente em treinamento cibernético e conscientização para a equipe de atendimento ao cliente que lida com solicitações de alteração de SIM. Afinal, o sucesso dos ataques de troca de SIM é baseado na engenharia social, e a educação pode ajudar muito a reduzir a probabilidade de sucesso.
