Blog

Clonagem de chip: não entre em pânico!

Escrito por

5 de agosto de 2019

Suas contas de e-mail, whatsapp, etc, podem estar vulneráveis por causa da autenticação de dois fatores. Isso mesmo: ela pode estar servindo ao oposto do que você gostaria. No post de hoje, explicamos o que é SIM swap, os riscos e como se proteger!

O que é SIM swap

Seu número de celular está vinculado digitalmente a um cartão SIM – um chip – que está encaixado no aparelho. No entanto, esse número pode passar a ser vinculado a outro chip, ação que pode ser feita pela operadora. É o que acontece quando você tem o aparelho furtado, roubado ou perdido, por exemplo: é só entrar em contato com a operadora e pedir que seu número seja vinculado ao chip do novo aparelho.

Ocorre que esse procedimento é muito fácil de ser fraudado. O número de celular não foi feito para ser uma forma de checagem de identidade (como alerta o pessoal do podcast Reply All nesse episódio). Assim, sem maiores dificuldades, é possível alguém mal-intencionado trocar seu número de telefone para outro chip por alguns instantes sem que você seja avisado. Isso é o SIM swap, comumente conhecido como clonagem de celular. Essa pessoa terá acesso a tudo que seu celular deveria receber, sua lista de contatos, e seu código de verificação para contas com dois fatores de autenticação via SMS.

A maneira como a clonagem é feita é muito simples: o invasor tem de ter o número de celular e saber alguns dos dados da vítima. De posse disso, contacta a operadora, finge que é a vítima e faz a troca. Isso é mais fácil quando o criminoso tem contatos dentro da operadora de telefone, como destacado nessa reportagem, mas também é possível apenas dispondo de informações pessoais – como as que vazam de cadastros de tempos em tempos.

Autenticação de dois fatores via SMS: qual o risco?

Primeiro, vamos ao que seria essa forma de autenticação de dois fatores. Ela é uma forma de buscar mais segurança para sua conta, dificultando que terceiros não autorizados tenham acesso. Nesse caso, além do login e senha, o serviço em questão testa se é você mesmo por meio de envio de uma mensagem de texto comum (SMS) para o seu celular cadastrado, com um código, e pede que você informe o código recebido por SMS no momento de logar naquele serviço.

A técnica de SIM swap permite que alguém receba esse SMS e tenha acesso à sua conta de qualquer forma. Em alguns casos, o SMS serve também como forma de trocar de senha, o que torna o SIM swap ainda mais perigoso.

Com esse tipo de acesso, é possível alguém utilizar sua conta no whatsapp, seu e-mail, acessar sua lista de contatos e até seu aplicativo do banco. Essa pode ser uma forma de cometer um golpe infelizmente comum hoje em dia, em que o criminoso envia por whatsapp pedido de dinheiro aos contatos de alguém, fazendo-se passar por aquela pessoa. Como o dinheiro acaba sendo transferido para uma conta fria, até a descoberta do golpe, podem já ter havido prejuízos.

Também há possibilidade de acesso ao histórico de mensagens daquela pessoa em determinados aplicativos, como Whatsapp – embora as invasões em voga na mídia, sofridas por autoridades brasileiras e que possibilitaram vazamento de suas comunicações, tenham sido feitos por uma técnica ainda mais comum, de VoIP, tendo já sido tomadas providências pela ANATEL para evitar essa técnica de ataque.

Como se proteger da clonagem de chip

A autenticação de dois fatores deve ser usada, mas, quando possível, não com o envio de SMS como segundo fator. Veja 3 meios alternativos de verificação em duas etapas:

Aplicativos

Um meio seguro e prático de colocar uma camada extra de segurança na sua conta é instalando aplicativos de autenticação, como o Google Authenticator ou o Authy

Nos serviços online com essa opção de autenticar, será necessário cadastrar um dispositivo (um celular ou computador, por exemplo) como autenticador por meio de um QR Code que o serviço irá gerar, confirmando o vínculo. A partir disso, o aplicativo de autenticação gera um código para a conta do serviço cadastrado, como sua conta do Instagram, Facebook ou outras redes sociais. O código de confirmação gerado pelo app se renova rapidamente, e deve ser digitado sempre que você tenta logar na conta cadastrada no aplicativo autenticador.

Por exemplo: se tenho esse método de verificação em duas etapas no Gmail, e desejo acessar meu e-mail em um novo dispositivo, ele solicitará meu login, senha e, a seguir, um código que estará disponível no aplicativo autenticador configurado. No caso do Authy, esse código fica obsoleto a cada 30 segundos, e deve ser digitado um código válido para se ter acesso à conta vinculada.

PIN

O Whatsapp é um aplicativo que não permite uso de verificação em duas etapas por aplicativo, mas disponibiliza o PIN de segurança. Consiste em um número de 6 dígitos que o usuário deve decorar e deve ser digitado quando o aplicativo solicitar – o que ocorre de forma aleatória durante o uso do mensageiro, e ajuda o usuário a decorar o número.

Token

Poucos serviços oferecem essa forma de autenticação, sendo que o mais comum é o de acesso a contas bancárias. O pequeno dispositivo (similar a um pendrive) com entrada USB, que contém uma chave digital e necessita também de um PIN para ser validado, é oferecido por alguns bancos como camada extra de segurança a seus clientes.

Essa é uma forma bastante segura de autenticação, pois, além de ter o PIN, é preciso ter a chave física e os dados de login do usuário a fim de acessar sua conta.

Assim, saber os riscos do SIM swap não deve ser motivo para desespero, mas sim para mudar o seu método de proteção para técnicas mais eficazes. Tem interesse em outras medidas de assegurar seus dados e comunicações na internet? Leia 6 dicas de segurança da informação neste post!

As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.

Escrito por

Coordenadora de Pesquisa e pesquisadora no Instituto de Referência em Internet e Sociedade (IRIS), Doutoranda em Direito na Universidade Federal de Minas Gerais (UFMG), Mestra em Direito da Sociedade de Informação e Propriedade Intelectual pela Universidade Federal de Santa Catarina (UFSC), Graduada em Direito pela Universidade Federal de Santa Maria (UFSM).

Membro dos grupos de pesquisa Governo eletrônico, inclusão digital e sociedade do conhecimento (Egov) e Núcleo de Direito Informacional (NUDI), com pesquisa em andamento desde 2010.

Interesses: sociedade informacional, direito e internet, governo eletrônico, governança da internet, acesso à informação. Advogada.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *