SIM Swap: conheça a técnica que clona WhatsApp e frauda app de cartão de crédito

Extorsões envolvendo políticos feitas via WhatsApp e golpes em clientes de cartão de crédito têm um método em comum: SIM Swap. A técnica, que consiste em transferir a linha do chip de um usuário para um chip em branco, já fez milhares de vítimas.

De acordo com uma estimativa da Célula de Inteligência Cibernética do Departamento da Polícia Civil do Ceará, pelo menos cinco mil pessoas tiveram o WhatsApp clonado. E o número nem inclui golpes envolvendo roubo de contas pessoais em redes sociais e fraudes bancárias, por exemplo.

A técnica por trás dos golpes é relativamente simples. O fraudador compra um chip em branco e ativa o número da vítima. Em posse da linha, ele consegue recuperar senhas de contas via SMS e até acessar a conta do WhatsApp. Se o atacante conseguir acesso ao e-mail da vítima, ele consegue até mesmo recuperar o backup das conversas no aplicativo de mensagens.

Mas como é possível ativar uma linha em um chip em branco? Essa opção é oferecida por todas as operadoras e serve para casos como perda de chip ou roubo do celular. A portabilidade entre operadoras segue a mesma lógica. Em tese, somente o titular da linha poderia fazer essas trocas.

Na prática, o golpe do SIM Swap envolve duas possibilidades: engenharia social, com um criminoso com documentos falsos se passando por você em uma loja ou a participação de um funcionário da operadora.

Gizmodo Brasil conversou com diversos especialistas da área de cibersegurança para entender como a troca acontece e como os usuários podem se proteger.

Conluio com funcionários de operadoras

O método mais frequente para aplicar esse golpe envolve um funcionário da operadora. “Esse tipo de transação, na maior parte dos casos que temos conhecimento, acontece com um conluio entre fraudador e algum agente da operadora, uma pessoa que tenha acesso aos sistemas que permitem a troca de linha no chip”, diz André Carraretto, especialista em segurança da Symantec.

Nestes casos, há uma dificuldade em descobrir como, quando e onde a troca de chip aconteceu e qual foi o funcionário responsável. “Muitas vezes é preciso ir pela via legal”, completa Carraretto.

É o caso das diversas vítimas do golpe que envolve o cartão de crédito sem anuidade Meu Pag!, que relatamos no ano passado e continua acontecendo. O pagamento de boletos desconhecidos são feitos na conta do usuário após o roubo da linha e, para ressarcir o valor, a companhia solicita um laudo da operadora de telefonia que comprove a transferência do número para um chip em branco. A maioria das vítimas relatam que não conseguem obter esse laudo.

A maioria das extorsões feitas a parente de pessoas que tiveram seus WhatsApp clonados segue por esse mesmo método do SIM Swap. O golpista, em posse da linha, consegue facilmente ativar o WhatsApp em seu celular e então envia mensagens à parente e amigos da vítima solicitando depósitos urgentes.

Engenharia social

Conversando com Denise Giusto, pesquisadora de segurança da ESET, descobrimos que o SIM Swap é ainda mais fácil na gringa. Nos Estados Unidos, por exemplo, uma simples ligação e alguns dados pessoais são o suficiente para que a linha troque de chip e as extorsões comecem. Com o tempo, as operadoras passaram a oferecer uma opção de PIN de segurança – funciona como uma senha, que você precisa colocar para confirmar o procedimento.

Embora o golpe não aconteça dessa forma no Brasil, ela alerta que é preciso ficar atento com informações pessoais. “Recomendo não compartilhar dados sensíveis publicamente, informações que possam te prejudicar futuramente”, diz Giusto. A pesquisadora recomenda ainda ficar de olho nas movimentações bancárias e em outras instituições financeiras.

Evitar revelar seu RG, CPF, endereço e telefone fixo pode ajudar, porém tem sido frequente o vazamento de bases de dados que contém muitos desses dados. Só no ano passado, vimos a SkyFIESPBanco InterMarriottC&A e muitas outras grandes companhias admitindo vazamentos.

Foi justamente esse o destaque de Fabio Assolini, analista sênior de segurança da Kaspersky Lab. “Os golpes de SIM Swap estão cada vez mais comum, não só no Brasil, mas também no mundo todo. No Brasil, diversos políticos sofreram esse tipo de ataque. Para piorar o cenário, há uma enxurrada de dados pessoais disponíveis debaixo do tapete – de sites que foram invadidos e tiveram sua base de dados roubadas, o que só ajuda o cibercriminoso, já que uma vez com posse desses dados, eles podem tentar fazer o ataque”, comenta.

Nesse sentido, a LGDP (Lei Geral de Proteção de Dados) poderia ajudar, como lembra Igor Rincon, especialista de segurança da Flipside. Como as empresas seriam obrigadas a comunicar os vazamentos, usuários poderiam tentar adotar mais medidas de segurança. A lei, no entanto, só deve começar a valer mesmo em 2020.

Embora seja menos comum, esse método também é utilizado no País. Uma vítima, que preferiu não se identificar, contou ao Gizmodo Brasil sobre um baita perrengue em 2016 quando teve sua linha pós-paga roubada. O esquema foi exatamente esse: uma pessoa foi até uma loja da operadora com um documento falso e transferiu a linha para um chip em branco. Essa era só uma parte do golpe, que envolveu invasão de sua conta do banco, pedidos de empréstimo em seu nome e compras em lojas de móveis.

Como se proteger

Existem uma série de medidas que os usuários podem tomar para evitar golpes que envolvem a técnica do SIM Swap. A recomendação dos especialistas é utilizar autenticação em dois fatores para as suas contas, mas nunca via SMS. “O número de celular não é o ideal como um fator de segurança, então se você for usar a autenticação em dois passos nunca use o SMS. Recomendo aplicativos de terceiros que geram tokens”, alerta Leonardo Souza, especialista em cibersegurança na Trend Micro.

A verificação em dois fatores (2FA) reforça bastante a segurança das suas contas. Funciona assim: ao fazer o login em algum serviço você digita a sua senha. Depois disso, será solicitado um código que foi enviado para o seu celular. Somente depois que você inserir esse código que terá acesso completo. Ou seja, mesmo que elas saibam sua senha, será preciso ter acesso físico ao seu celular.

Como comentamos num texto sobre o vazamento de senhas e reforçando a dica do especialista, fuja do código enviado por SMS. Se a sua linha for roubada, não vai adiantar muito. Uma vez que você tenha um aplicativo como o Google Authenticator, disponível para Android e iOS, essa possibilidade é eliminada.

Muitos dos grandes serviços na internet já suportam o 2FA. Geralmente, a opção para ativá-lo está nas configurações de segurança da sua conta, vale a pena dar uma olhada.

Caso algum serviço que você use não ofereça suporte a esses aplicativos, ainda assim vale a pena ativar o SMS. Porém, considere que esse é um método muito mais fraco e suscetível ao golpe do SIM Swap. Portanto, evite instituições financeiras que permita autenticação em dois fatores por mensagem ou até mesmo a troca de senha de aplicativo via SMS.

Para o WhatsApp, especificamente, ative a verificação em duas etapas:

No iOS vá em Ajustes > Conta > Verificação em duas etapas.

No Android, aperte no ícone dos três pontinhos > Configurações > Conta > Verificação em duas etapas.

Depois, é só inserir um PIN e um endereço de e-mail para recuperar a conta caso você o esqueça.

O especialista Fabio Assolini também recomenda ficar atento ao status do seu celular: “Se a vítima perceber que parou receber notificações, mensagens SMS e chamadas telefônicas (ou até mesmo que o WhatsApp parou de funcionar), precisa entrar em contato imediatamente com a operadora. Apesar de poder solicitar auxílio por telefone para a operadora, o indicado é que ela resolva a situação pessoalmente em uma loja para que possa ativar o número em um novo chip na hora – e resolver o problema”, alerta.

Nesses casos, vale a pena consultar amigos e parentes que utilizam a mesma operadora e verificar que elas estão com linha. Peça que elas liguem para o seu número – quando o número vai para outro chip, ele chama normalmente. É importante também fazer um Boletim de Ocorrência relatando o seu caso.

De acordo com a Anatel, algumas operadoras oferecem o serviço de autenticação em duas etapas dentro de seus aplicativos e é recomendada a ativação da funcionalidade. A agência diz ainda que caso o cliente não consiga resolver prontamente sua solicitação junto à operadora, vale a pena entrar em contato com eles por meio dos canais por meio dos canais de acolhimento e tratamento de reclamações:

Central de Atendimento Telefônico gratuito, no número 1331 – ou 1332, para deficientes auditivos (não há necessidade de acrescentar o código DDD);
Aplicativo Anatel Consumidor, disponível para Android e iOS.

O que dizem as operadoras

Questionamos o SindiTeleBrasil, órgão que representa as operadoras, sobre o que tem sido feitos para evitar os golpes envolvendo SIM Swap e o que os clientes podem fazer para se proteger. Eles nos enviaram a seguinte resposta:

“O SindiTelebrasil informa que as prestadoras de serviço de telefonia móvel possuem políticas e diretrizes internas voltadas à área de segurança da informação e antifraude, visando sempre à proteção dos dados de seus clientes. Destaca ainda que as operadoras não têm responsabilidade legal ou ingerência sobre os conteúdos e transações feitos nesses aplicativos.”

Matéria – Alessandro Feitosa Gizmodo