Como se proteger de ataques de troca de SIM

Dedos trocando o cartão SIM de um smartphone.
Mikhail Artamonov / Shutterstock

Você acha que está fazendo todos os movimentos certos. Você é inteligente com sua segurança. Você tem a autenticação de dois fatores ativada em todas as suas contas. Mas os hackers têm uma maneira de contornar isso: troca de SIM.

É um método de ataque devastador com consequências terríveis para aqueles que são vítimas dele. Felizmente, existem maneiras de se proteger. Veja como funciona e o que você pode fazer.

O que é um ataque SIM-Swap?

Não há nada de intrinsecamente errado com a “troca de SIM”. Se você perder seu telefone, sua operadora fará uma troca de SIM e moverá seu número de celular para um novo cartão SIM. É uma tarefa rotineira de atendimento ao cliente.

O problema é que hackers e criminosos organizados descobriram como enganar as companhias telefônicas para que façam trocas de SIM. Eles podem então acessar contas protegidas por autenticação de dois fatores baseada em SMS (2FA).

De repente, seu número de telefone é associado ao telefone de outra pessoa. O criminoso então recebe todas as mensagens de texto e chamadas telefônicas destinadas a você.

A autenticação de dois fatores foi concebida em resposta ao problema de senhas vazadas. Muitos sites não protegem adequadamente as senhas. Eles usam hash e sal para evitar que as senhas sejam lidas em sua forma original por terceiros.

Pior ainda, muitas pessoas reutilizam senhas em sites diferentes. Quando um site é hackeado, um invasor agora tem tudo o que precisa para atacar contas em outras plataformas, criando um efeito de bola de neve.

Por segurança, muitos serviços exigem que as pessoas forneçam uma senha especial de uso único (OTP) sempre que fizerem login em uma conta. Essas OTPs são geradas instantaneamente e são válidas apenas uma vez. Eles também expiram após um curto período de tempo.

Por conveniência, muitos sites enviam essas OTPs para o seu telefone em uma mensagem de texto, o que apresenta seus próprios riscos. O que acontecerá se um invasor puder obter seu número de telefone, roubando seu telefone ou realizando uma troca de SIM? Isso dá a essa pessoa acesso quase irrestrito à sua vida digital, incluindo suas contas bancárias e financeiras.

Recomendado:  Os artistas querem que você pré-salve suas músicas, mas você deveria?

Então, como funciona um ataque de troca de SIM? Bem, depende do invasor enganar um funcionário da companhia telefônica para transferir seu número de telefone para um cartão SIM que ele controla. Isso pode acontecer por telefone ou pessoalmente em uma loja de telefones.

Para fazer isso, o invasor precisa saber um pouco sobre a vítima. Felizmente, a mídia social está repleta de detalhes biográficos que podem enganar uma pergunta de segurança. Sua primeira escola, animal de estimação ou amor e o nome de solteira de sua mãe provavelmente podem ser encontrados em suas contas sociais. Claro, se isso falhar, sempre haverá phishing .

Ataques de troca de SIM são complexos e demorados, tornando-os mais adequados para incursões direcionadas contra um determinado indivíduo. É difícil retirá-los em escala. No entanto, houve alguns exemplos de ataques generalizados de troca de SIM. Uma gangue brasileira do crime organizado conseguiu trocar no SIM 5.000 vítimas em um período de tempo relativamente curto.

Um esquema de “portabilidade” é semelhante e envolve o sequestro do seu número de telefone “transferindo-o” para uma nova operadora de celular.

Quem corre maior risco?

Um token físico de Bitcoin em cima de um cartão de crédito sobre notas de $ 100.
Bobkov Evgeniy / Shutterstock

Devido ao esforço necessário, os ataques de troca de SIM tendem a ter resultados particularmente espetaculares. O motivo quase sempre é financeiro.

Recentemente, as bolsas de criptomoedas e carteiras têm sido alvos populares. Essa popularidade é agravada pelo fato de que, ao contrário dos serviços financeiros tradicionais, não existe estorno com Bitcoin. Depois de enviado, ele se foi.

Além disso, qualquer pessoa pode criar uma carteira de criptomoeda sem ter que se registrar em um banco. É o mais próximo que você pode chegar do anonimato quando se trata de dinheiro, o que torna mais fácil a lavagem de fundos roubados.

Uma vítima bem conhecida que aprendeu isso da maneira mais difícil é o investidor Bitcoin, Michael Tarpin , que perdeu 1.500 moedas em um ataque de troca de SIM. Isso aconteceu poucas semanas antes do Bitcoin atingir seu valor mais alto de todos os tempos. Na época, os ativos de Tarpin valiam mais de US $ 24 milhões.

Recomendado:  Como começar em “Animal Crossing: New Horizons”

Quando o jornalista da ZDNet, Matthew Miller,  foi vítima de um ataque de troca de SIM , o hacker tentou comprar US $ 25.000 em Bitcoin usando seu banco. Felizmente, o banco conseguiu reverter a cobrança antes que o dinheiro saísse de sua conta. No entanto, o invasor ainda foi capaz de destruir toda a vida online de Miller, incluindo suas contas do Google e do Twitter.

Às vezes, o objetivo de um ataque de troca de SIM é embaraçar a vítima. Esta lição cruel foi aprendida pelo fundador do Twitter e da Square, Jack Dorsey, em 30 de agosto de 2019. Hackers sequestraram sua conta e postaram epítetos racistas e anti-semitas em seu feed, que é seguido por milhões de pessoas.

Como você sabe que um ataque ocorreu?

O primeiro sinal de uma conta de troca de SIM é que o cartão SIM perde todo o serviço. Você não poderá receber ou enviar mensagens de texto, ligações ou acessar a internet por meio de seu plano de dados.

Em alguns casos, a operadora do telefone pode enviar um texto informando que a troca está ocorrendo, momentos antes de mover o seu número para o novo cartão SIM. Isso é o que aconteceu com Miller:

“Às 23h30 de segunda-feira, 10 de junho, minha filha mais velha sacudiu meu ombro para me acordar de um sono profundo. Ela disse que parecia que minha conta no Twitter havia sido hackeada. Acontece que as coisas eram muito piores do que isso.

Depois de rolar para fora da cama, peguei meu Apple iPhone XS e vi uma mensagem de texto que dizia ‘Alerta T-Mobile: o cartão SIM para xxx-xxx-xxxx foi alterado. Se esta mudança não for autorizada, ligue para 611. ‘”

Se você ainda tem acesso à sua conta de e-mail, também pode começar a ver atividades estranhas, incluindo notificações de mudanças na conta e pedidos online que você não fez.

Como você deve responder?

Quando ocorre um ataque de troca de SIM, é crucial que você tome uma ação imediata e decisiva para evitar que as coisas piorem.

Recomendado:  Qual é a diferença entre CC e BCC ao enviar um e-mail?

Primeiro, ligue para o seu banco e para as administradoras de cartão de crédito e solicite o congelamento de suas contas. Isso impedirá que o invasor use seus fundos para compras fraudulentas. Como você também foi efetivamente vítima de roubo de identidade, também é aconselhável entrar em contato com as várias agências de crédito e solicitar o congelamento de seu crédito.

Em seguida, tente “chegar à frente” dos invasores movendo o máximo de contas possível para uma nova conta de e-mail sem contaminação. Desvincule seu número de telefone antigo e use senhas fortes (e completamente novas). Para quaisquer contas que você não consegue acessar a tempo, entre em contato com o atendimento ao cliente.

Finalmente, você deve entrar em contato com a polícia e registrar uma queixa. Não posso dizer o suficiente – você é vítima de um crime. Muitas apólices de seguro residencial incluem proteção contra roubo de identidade. O preenchimento de um relatório policial pode permitir que você apresente uma reclamação contra sua apólice e recupere algum dinheiro.

Como se proteger de um ataque

Chave de segurança Titan do Google para autenticação de dois fatores.
Cameron Summerson

Claro, a prevenção é sempre melhor do que a cura. A melhor maneira de se proteger contra ataques de troca de SIM é simplesmente não usar 2FA baseado em SMS . Felizmente, existem algumas alternativas atraentes .

Você pode usar um programa de autenticação baseado em aplicativo, como o Google Authenticator. Para outro nível de segurança, você pode optar por comprar um token de autenticador físico, como o YubiKey ou Google Titan Key.

Se você absolutamente deve usar 2FA baseado em texto ou chamada, você deve considerar investir em um cartão SIM dedicado que você não usa em nenhum outro lugar. Outra opção é usar um número do Google Voice, embora não esteja disponível na maioria dos países.

Infelizmente, mesmo se você usar 2FA baseado em aplicativo ou uma chave de segurança física, muitos serviços permitirão que você os ignore e recupere o acesso à sua conta por meio de uma mensagem de texto enviada para o seu número de telefone. Serviços como o Google Advanced Protection oferecem segurança mais à prova de balas para pessoas em risco de serem alvos, “como jornalistas, ativistas, líderes empresariais e equipes de campanha política”.