A fraude da troca de SIM (ou SIM Swap) vem tomando cada vez mais espaço no meio tecnológico, isso porque os cibercriminosos estão sempre buscando melhorar seus golpes e ataques para conseguir o máximo de lucro possível, e, em alguns casos, também o máximo de dano. Entrando mais a fundo no assunto, temos a definição de fraude de troca de SIM como um golpe que geralmente visa uma falha na autenticação de dois fatores e na verificação em duas etapas, em que o segundo fator ou etapa é um SMS ou uma chamada feita em um telefone celular.
A fraude gira em torno da exploração da capacidade de uma operadora de telefonia móvel transferir facilmente um número de telefone para um novo cartão SIM. Esse recurso é normalmente usado quando um cliente perdeu ou teve seu telefone roubado. Ataques como esses são agora generalizados, com os cibercriminosos usando-os não apenas para roubar credenciais e capturar OTPs (One True Pairing = senhas de uso único) enviadas via SMS, mas também para causar danos financeiros às vítimas.
Clientes de serviços bancários on-line também estavam sofrendo perdas em suas contas. Uma gangue organizada sozinha no Brasil conseguiu fazer 5 mil vítimas com o SIM Swap, algumas das vítimas eram empresários de alto perfil que tiveram até US$50.000 roubados de suas contas bancárias (mais de 180 mil reais).
Como funciona o golpe?
Tudo começa com a coleta de informações da vítima. O criminoso utiliza várias formas para isso, por exemplo: Engenharia social; Utilização de e-mails de phishing; Através de vazamentos de dados; Compra de informações na DeepWeb; e etc. Com as informações coletadas, o criminoso entra em contato com a operadora de telefonia da vítima.
Após entrar em contato, o criminoso usa engenharia social para tentar convencer a operadora a transferir o número de telefone da vítima para o SIM dele. O criminoso se passa pela vítima em uma ligação e alega que perdeu seu telefone, então a operadora pede que o número seja ativado em um novo cartão SIM. Com isso o telefone da vítima perde sua conexão com a rede e o criminoso passa a receber todos os SMSs e chamadas destinadas à vítima.
Agora, com um cartão SIM com o número da vítima, o criminoso tem a facilidade de interceptar quaisquer senhas de uso único enviadas por SMS ou chamadas destinadas à vítima. Sendo assim, os serviços que possibilitam/dependem de uma autenticação por SMS/chamadas podem ser usados livremente pelo criminoso.
Alguns dos processos usados pelas operadoras de telefonia móvel são fracos, o que deixa os clientes abertos a ataques de troca de SIM. Em alguns mercados, a fim de validar sua identidade, o operador pode solicitar algumas informações básicas, como nome completo, data de nascimento, o último voucher de recarga, os últimos cinco números chamados, etc. Os criminosos podem tem acesso a essas informações através da mídia social e de aplicativos como TrueCaller para obter o nome do chamador com base no número.
Através da engenharia social, os criminosos também tentam adivinhar o valor do voucher com base no que é mais popular no mercado local. E para descobrir as últimas cinco chamadas, utilizam uma técnica de plantar algumas “chamadas perdidas” ou enviar um SMS para o número da vítima como isca, para que elas liguem de volta.
Fraude no Brasil
Brasil já teve mais de 5 mil vítimas de clonagem de WhatsApp.
Os criminosos estão utilizando o aplicativo de mensagens WhatsApp para conseguir dinheiro, este método é denominado de “Clonagem de WhatsApp”. Após realizarem a fraude da troca de SIM, o criminoso carrega no WhatsApp todos os contatos e mensagens da vítima, e então começam o método “Clonagem de WhatsApp”, o criminoso envia mensagens aos contatos se passando pela vítima, forjam uma emergência e pedem dinheiro. Em alguns casos, o criminoso forja um sequestro falso e pede por dinheiro o mais rápido possível por se tratar de uma situação de vida ou morte.
Algumas emissoras de TV Brasileiras fizeram entrevistas com diversas vítimas desta fraude, e em um dos casos uma família perdeu 3 mil dólares, equivalentes a mais de 10 mil reais. Em outro caso o ataque foi direcionado a um executivo de uma empresa, o criminoso se passou por ele e pediu por uma quantia considerável em dinheiro para os departamentos de finanças da empresa.
A maioria das fraudes de troca de SIM opera da mesma maneira. Existem sindicatos que identificam e conspiram com funcionários dos bancos e operadoras de telefonia móvel. O funcionário do banco é responsável por fornecer informações sobre um saldo de conta e informações detalhadas sobre a vítima. Com essas informações, os criminosos realizam um ataque de phishing para obter acesso à conta bancária on-line da vítima e seus códigos de verificação.
Uma vez que os bancos usam SMS para suas OTPs, os criminosos precisam realizar uma troca de SIM ou sequestro de cartão SIM para redirecionar todas as comunicações da vítima para um novo chip que esteja em sua posse. Para conseguir isso, esses sindicatos contam com alguma cooperação dos funcionários das operadoras móveis, embora estes possam ser facilmente rastreados e detidos. É por isso que os criminosos geralmente usam documentos falsificados que são exigidos pela operadora para a troca do chip e os apresentam em lojas de varejo móveis como parte de uma solicitação fraudulenta de um novo cartão SIM. Os funcionários dessas lojas geralmente não têm treinamento suficiente para detectar documentos falsos e, mesmo que o façam, às vezes os documentos são autenticados por um funcionário público que foi subornado ou que faz parte do esquema também.
A solução
Tendo em vista os problemas citados nesse artigo, apresentamos a solução de Gerenciamento de Identidades NoPassword, da WiActs, que elimina o uso de senhas.
Atendendo a necessidades de funcionários de empresas e de fornecedores de SaaS (Software as a Service = Software como Serviço), para garantir o acesso seguro para seus clientes via web ou aplicação mobile, a solução NoPassword foi desenvolvida para ser integrada facilmente com diretórios de identidades existentes (Active Directory, LDAP, etc) e tem sido pré integrada e testada com centenas de aplicações empresariais como Office 365, Google Docs, AWS, VPNs, Windows, MacOS, entre outros.
Empresas e fornecedores SaaS podem orientar e controlar a experiência da solução, já que o NoPassword pode oferecer uma SDK (Software Development Kit = Kit de desenvolvimento de software) completa.
Para mais informações, acesse: https://www.fcbrasil.com.br/blog/nopassword/
Recomendamos que você evite usar os mecanismos de autenticidade por meio de chamadas e SMS, e quando possível, opte por gerar um OTP em um aplicativo para dispositivos móveis (como o Google Authenticator) ou usar um token físico. Infelizmente, alguns serviços on-line não oferecem essa alternativa. Nesse caso, o usuário precisa estar ciente dos riscos, e quando possível, opte por utilizar o NoPassword.