Políticos, celebridades, consumidores e até mesmo o CEO do Twitter, Jack Dorsey. Qualquer pessoa pode se tornar alvo do SIM Swap (também conhecido como SIM Swapping), fraude que ganhou as manchetes após vitimar Dorsey no ano passado e que atualmente se consolidou como uma das principais ameaças para a indústria de telefonia móvel na América Latina. Basicamente caracterizado como a transferência da linha do usuário para um chip em branco, o golpe permite que os hackers controlem o telefone de terceiros, possibilitando a interceptação de chamadas e mensagens, a invasão de contas bancárias e de redes sociais, por exemplo, e até mesmo o roubo de criptomoedas. Segundo levantamentos do setor, a cada cinco tentativas de SIM Swap, quatro são bem-sucedidas.
O aumento crescente de ocorrências do tipo em todo o mundo pode ser explicado pelo enorme contingente de telefones celulares em uso e, portanto, pela alta disponibilidade de vítimas potenciais. De acordo com relatório Economia Móvel de 2019, elaborado pela GSMA, 5,1 bilhões de pessoas têm celular, o que equivale a 67% da população mundial. A América Latina, onde os incidentes têm ocorrido com muita frequência, aparece em quarto lugar no ranking das regiões com mais dispositivos do tipo, com 67% de penetração. Para além disso, em média, uma pessoa gasta cinco horas por dia utilizando os aparelhos, aumentando os momentos de vulnerabilidade.
Os atacantes normalmente utilizam algumas estratégias para realizar a troca de chip. Uma delas é solicitar às operadoras móveis a portar um número de telefone para outro dispositivo, transferindo o controle do número para o criminoso. O processo, que muitas vezes não requer muitas informações além de nome, número do celular e data de nascimento, é feito sem complicações, até porque originalmente é direcionado para atender aos clientes no momento da compra de um novo aparelho, perda e quebra do telefone.
Outra forma utilizada para acessar o chip é contar com uma base de dados específica, comercializada de forma indevida por terceiros infringindo leis de privacidade do usuário, com informações sobre números de celular, principalmente de autoridades, celebridades e políticos, para os cibercriminosos. Nesse contexto, o invasor não precisa nem mesmo de engenharia social para obter informações sobre a vítima, e o caminho para extorsões e exposição dos hackeados é aberto com maior facilidade.
Recentemente, a Europol, serviço europeu de polícia, anunciou a prisão de mais de 20 pessoas suspeitas de esvaziar contas bancárias ao sequestrar os números de telefone das vítimas por meio de SIM Swap. Nos Estados Unidos, de acordo com a Federal Trade Commission (FTC), o número de reclamações sobre troca de SIM aumentou substancialmente, de 215, em 2016, para 728 até novembro de 2019.
De acordo a Positive Technologies, especializada na análise e monitoramento das redes móveis de dezenas de operadoras em todo o mundo, os consumidores devem apostar em autenticação em dois fatores, sem utilizar, no entanto, o SMS, que utiliza o número de celular como fator de segurança.
Em relação às operadoras, Kurbatov aponta que a LGPD pode ser um auxílio importante no combate ao SIM Swap, uma vez que as empresas serão obrigadas a relatar vazamentos, o que tende a aumentar a busca por medidas de segurança. “Algumas operadoras móveis latino-americanas já possuem um processo mais robusto para evitar esse tipo de ataque através da detecção de reemissão de SIM / mudança de telefone móvel com base na correlação IMSI-IMEI-MSISDN. Mas é imprescindível o emprego de tecnologias que ajudem a encurtar o tempo de resposta, diminuindo os potenciais prejuízos da vítima”, completa o executivo.