O SIM swapping, troca ou clonagem de cartão SIM, permite que criminosos sequestrem um número de telefone duplicando o cartão SIM. Por meio de técnicas de engenharia social ou da cumplicidade de pessoas que trabalham em empresas de telefonia, atacantes podem clonar cartões e assumir o controle do número de telefone das vítimas.

Com esse tipo de ataque, cibercriminosos acabam obtendo facilmente códigos de acesso e autenticação de dois fatores para vários serviços, incluindo transações bancárias e mensagens, o que abre uma série de oportunidades para a realização de golpes.

Os eSIMs também são clonáveis

Com a evolução dos eSIMs, a versão digital dos cartões SIM que não requer um cartão físico, os cibercriminosos tiveram que modificar suas técnicas de ataque, pois essa tecnologia tem suas diferenças em relação ao cartão físico.

De acordo com um relatório da empresa russa de segurança cibernética F.A.C.C.T., a troca de SIMs estava em alta em 2023, aproveitando a transição para a tecnologia eSIM. Mais de cem tentativas de acessar as contas pessoais dos clientes em serviços na Internet em uma única instituição financeira foram registradas naquele ano, e esses tipos de instituições são os principais alvos da clonagem de eSIM.

Como os eSIMs são clonados?

Diferentemente dos cartões SIM físicos convencionais, o eSIM é um chip embutido no dispositivo. O sistema permite que o usuário ative o serviço digitalmente, fazendo login em um aplicativo ou escaneando um código QR, o que torna o processo mais rápido e conveniente.

O eSIM também traz outras vantagens: com menos espaço interno para o chip do celular, os fabricantes podem inserir outros componentes, como uma bateria maior, e permite que os dispositivos sejam ainda mais finos e leves, atendendo às demandas por um design elegante e compacto.

Por meio de técnicas de engenharia social, eles também conseguem comprometer as contas dos usuários através de dados de acesso roubados, força bruta ou vazamentos.

O ataque inicial começa da mesma forma: por meio de engenharia social, phishing e outros métodos criminosos, os atacantes comprometem a conta do usuário e obtêm o código QR que permite ativar o eSIM em seu próprio dispositivo, sequestrando efetivamente o número da vítima.

Enquanto os dados de identidade residem no telefone do proprietário, os cibercriminosos continuam explorando vulnerabilidades em sistemas e processos relacionados à autenticação e à proteção de dados.

Como você pode se proteger

Casos de eSIM swapping podem trazer consequências graves para a sua segurança e privacidade. Algumas das ameaças incluem:

  • Roubo de identidade digital: cibercriminosos podem obter acesso às contas digitais da vítima, incluindo e-mails, redes sociais e serviços bancários, comprometendo sua identidade digital e expondo informações pessoais e financeiras.
  • Fraude financeira: com acesso aos serviços bancários on-line da vítima, criminosos podem realizar transações, transferindo fundos ilegalmente e comprometendo sua estabilidade financeira.
  • Extorsão e chantagem: cibercriminosos podem usar o acesso às mensagens e aos contatos da vítima para realizar extorsão ou chantagem, ameaçando revelar informações confidenciais ou comprometedoras.
  • Prejuízos à reputação: caso os cibercriminosos usem o acesso à conta da vítima para divulgar informações falsas ou prejudiciais, isso pode resultar em prejuízos à reputação pessoal e profissional.

Há medidas que você pode tomar para se proteger contra o roubo do seu número de telefone:

  • Nunca use a verificação em duas etapas via SMS: de todas as maneiras de proteger seu eSIM, sua conta do WhatsApp ou suas redes sociais, a verificação por SMS é uma das piores. Com acesso ao número, o cibercriminoso pode facilmente invadir suas outras contas ao receber o código de segurança por mensagem de texto. Sempre use aplicativos de token de acesso para proteger suas contas.
  • Ative a verificação em duas etapas no WhatsApp: abra o WhatsApp; toque em "Menu" (os três pontos) e depois em "Configurações"; toque em "Conta", "Verificação em duas etapas"; defina um código PIN de seis dígitos, que será solicitado quando você fizer login no WhatsApp. O aplicativo solicita o código ao usuário de tempos em tempos, para garantir que outra pessoa não o esteja usando; você também pode configurar um endereço de e-mail para recuperar o PIN, caso o esqueça. Em alguns casos, o WhatsApp pode solicitar que você adicione um e-mail de recuperação caso esqueça o código. É extremamente importante que esse e-mail também esteja protegido por uma verificação em duas etapas que não seja via SMS.
  • Cuidado com o phishing: a troca do SIM depende especialmente de golpes de phishing, como e-mails e mensagens suspeitas. Como esse é um golpe ligado à engenharia social, é importante que você tenha cuidado com contatos estranhos.