Tabela de Conteúdos

  • Como funciona a fraude de troca de SIM?
  • Qual é a melhor maneira de se proteger de fraudes de troca de SIM?
  • A troca de fraudes sim pode levar a disputas de pagamento?
  • O que os comerciantes devem saber sobre a troca de SIM
  • O que é simjacking?

Os números de telefone tornaram-se uma maneira comum de verificar sua identidade online. Estamos em uma era onde muitos de nós vemos nossos smartphones como praticamente extensões de nós mesmos, então é lógico que enviar uma mensagem de texto para um número de telefone pessoal é uma boa maneira de realizar autenticação de dois fatores ou validar um login de um dispositivo desconhecido.

Esse método é seguro e eficaz — a menos que um fraudador consiga sequestrar seu número de telefone com uma troca de cartão SIM. Não é o golpe mais fácil de fazer, mas quando ele consegue, o que as vítimas podem fazer para mitigar os danos e proteger suas contas online?

Muitos dos aplicativos e sites que armazenam nossos dados pessoais mais valiosos — como nossas mídias sociais, e-mail e banco on-line — usam nossos números de telefone para ter certeza de que somos quem dizemos que somos quando estamos tentando acessar ou fazer alterações em nossas contas. Afinal, a maioria de nós sempre tem nossos telefones por perto, e substituí-los imediatamente quando eles estão perdidos ou quebrados.

Os módulos de identidade do assinante, mais conhecidos como cartões SIM, são chips montados em plástico que armazenam números de telefone e outras informações que identificam telefones para suas operadoras. Mudar de telefone pode ser tão simples quanto mover um cartão SIM de um dispositivo para outro — e as operadoras podem alterar os dados do cartão SIM remotamente também. Afinal, quando seu telefone desaparece seu número não desaparece junto com ele; a operadora apenas transfere-o para um novo dispositivo.

Como funciona a fraude de troca de SIM?

A ideia de fraudadores invadindo o cartão SIM que está aninhado dentro do seu telefone e roubando seu número de telefone pode soar impossivelmente de alta tecnologia, mas na verdade, a maneira como eles fazem isso é quase sempre através da engenharia social antiquada. Não são necessários programas ou hardwares especiais — apenas a capacidade de persuadir um representante de atendimento ao cliente de que ele é um cliente legítimo que precisa de uma transferência SIM. Claro, ajuda muito se eles tiverem acesso às informações pessoais da vítima, especialmente as respostas a quaisquer perguntas de segurança que se destinem a proteger suas contas de acesso não autorizado.

Em um cenário típico, um fraudador usará e-mails de phishing para que uma vítima divulgue algumas das informações que podem ajudá-los a obter acesso às suas contas. Por exemplo, eles podem enviar-lhes um e-mail com um link para um site que lhes pede para inserir informações de login ou respostas para perguntas de segurança. Muitas vezes esses sites são projetados para imitar o site de uma empresa com a quem o alvo já tem um relacionamento, como um banco ou uma operadora de celular. Em outros casos, os fraudadores podem vasculhar as redes sociais da vítima em busca de nomes de parentes, locais de nascimento, escolas e outros fatos que frequentemente aparecem como questões de segurança.

Uma vez que eles têm o que precisam para obter acesso, eles entram em contato com a operadora de telefone, fingindo ser a vítima, e pedem uma transferência de cartão SIM para um novo dispositivo. Se eles tiverem sucesso, o número de telefone da vítima e quaisquer outros dados armazenados no cartão SIM são transferidos instantaneamente para um novo cartão na posse do fraudador. Agora, se alguém ligar ou enviar mensagens para o número de telefone da vítima, o telefone do fraudador o receberá — o que significa que eles podem facilmente contornar métodos de autenticação que dependem do contato telefônico.

Com a autenticação de dois fatores usando mensagens de texto se tornando cada vez mais comum na internet, as tentativas de contornar essa verificação também estão se tornando mais comuns, com a fraude de troca de SIM sendo um dos métodos mais populares.

A autenticação de dois fatores ainda fornece uma grande proteção contra fraudes, e vale a pena implementar para qualquer negócio de comércio eletrônico que ainda não tenha feito isso. No entanto, nenhum recurso de segurança é completamente à prova de balas, e a autenticação de dois fatores não é exceção.

Uma vez que um fraudador tenha acesso às mensagens de texto da vítima, eles, sem dúvida, tentarão esvaziar as contas bancárias da vítima, vasculhar seu e-mail e mídias sociais em busca de informações privadas e se ajudar em qualquer outra coisa de valor que o número de telefone da vítima possa desbloquear.

Qual é a melhor maneira de se proteger de fraudes de troca de SIM?

Uma das defesas mais importantes contra a troca de SIM é a capacidade de reconhecê-lo quando isso acontece, o que nem sempre é fácil. A pista mais antiga é que, muitas vezes, seu telefone pára de funcionar de repente, incapaz de enviar ou receber qualquer dado. Uma mensagem da operadora pode aparecer alertando-o para o fato de que o SIM foi transferido, mas se você não receber essa mensagem, você pode apenas pensar que o problema é com a operadora ou o hardware do telefone.

Uma chamada imediata para a linha de atendimento ao cliente da sua operadora pode ajudá-lo a descobrir qual é o problema, e é muito importante agir rapidamente se você acha que se tornou vítima de fraude de troca de SIM — não demora muito para os fraudadores causarem estragos significativos com um número de telefone roubado.

No que diz respeito à prevenção, muitas operadoras permitem que você proteja sua conta com um PIN ou outras salvaguardas que dificultem que os fraudadores conversem em sua maneira de acessar sua conta. Também é sábio escolher perguntas de segurança ou respostas que não podem ser descobertas pesquisando você online — quão difícil você realmente acha que é para alguém descobrir o nome de solteira de sua mãe, por exemplo?

Há também medidas que os comerciantes podem tomar para evitar que a conta de um cliente que foi vítima de fraude de troca de SIM seja acessada. O mais eficaz é realizar a autenticação de dois fatores através de alguns outros meios em vez de uma mensagem de texto.

O Google Authenticator pode ser usado para gerar o mesmo tipo de códigos que você enviaria via texto, sem a vulnerabilidade à troca de SIM. No entanto, o Google Authenticator não está sem suas desvantagens, sendo o principal que está ligado ao próprio telefone. Embora o aplicativo forneça códigos de backup no momento da configuração, nem todos os clientes são bons em mantê-los, o que pode criar problemas para clientes cujos telefones são perdidos ou roubados. Mesmo os clientes que simplesmente atualizam para um novo telefone sem perceber que precisam seguir um procedimento para transferir seus dados autenticadores podem perder temporariamente o acesso às suas contas.

Outro meio de autenticação de dois fatores são as informações biométricas, como reconhecimento facial ou uma impressão digital. Tanto o Android quanto o iOS agora oferecem a capacidade de integrar o login de impressão digital em aplicativos elegíveis, e vários serviços de terceiros oferecem para autenticar os clientes, pedindo-lhes para tirar uma selfie rápida. Como em qualquer método de segurança, cada um deles vem com sua própria lista de desvantagens e vulnerabilidades, e pode apresentar um obstáculo irritante para alguns clientes. A segurança é sempre um ato de equilíbrio, e cada comerciante deve tomar sua própria decisão sobre qual autenticação exigir e quais métodos oferecer aos seus clientes.

A troca de fraudes sim pode levar a disputas de pagamento?

Para os fraudadores, a fraude de troca de SIM é um empreendimento mais lucrativo do que a fraude de cartão de crédito. Com um número de telefone sequestrado, eles podem drenar fundos diretamente da conta bancária da vítima, sem necessidade de fazer compras fraudulentas que eles então têm que descobrir como liquidar em dinheiro.

No entanto, é certamente possível que os fraudadores usem fraudes de swap SIM para facilitar a aquisição de contas e outros esquemas que possam vitimizar os comerciantes, muitos dos quais posteriormente resultarão em disputas de transações. Estes geralmente virão na forma de verdadeiros chargebacks de fraude que não podem ser contestados, de modo que os comerciantes devem empregar práticas recomendadas para garantir logins e armazenar credenciais de pagamento, a fim de minimizar as consequências dos ataques de aquisição de contas.

O que os comerciantes devem saber sobre a troca de SIM

A troca de SIM nem sempre resulta em fraude de pagamento, mas os comerciantes devem estar sempre cientes das maneiras pelas quais as identidades e contas online de seus clientes podem ser comprometidas. Todos nós temos um papel a desempenhar em manter o comércio eletrônico seguro e seguro para os consumidores, e ser vigilante sobre protocolos de autenticação e fazer o nosso melhor para usar os métodos mais seguros para proteger contas de usuários pode ir um longo caminho para tornar mais difícil para os fraudadores lucrar com ataques de phishing, engenharia social e as várias formas de crimes cibernéticos que esses golpes geram.

De forma justa ou não, os comerciantes sempre assumem parte da culpa quando ocorrem violações, então fazer o esforço extra pode ajudá-lo a reter clientes e proteger sua receita a longo prazo.

PERGUNTAS FREQÜENTES

O que é simjacking?

Simjacking, Sequestro sim e divisão sim são outros nomes para troca de SIM, um golpe no qual um fraudador convence sua operadora de celular a transferir seu número para um novo cartão SIM em sua posse.


Artigo Original