A Check Point alerta para os perigos do SIM Swapping (Subscriber Identity Module, ou em português “Módulo de Identificação do Assinante”), uma técnica utilizada pelos ciberatacantes em que é feita uma duplicação do cartão SIM da vítima. O principal objetivo é se esquivar dos sistemas de autenticação dupla implementados em alguns serviços online (como online banking).
Para realizar uma duplicação de um cartão SIM são necessários os dados pessoais como número da identidade, número de telefone e nome completo, os quais podem ser obtidos pelos ciberatacantes por meio do uso de técnicas de phishing. A parte mais difícil, porém, é fazer a duplicação propriamente dita. É nesta fase em que os cibercriminosos recorrem a operadores que permitem que o cartão seja substituído por um novo pela Internet ou por telefone, embora em alguns casos tenham mesmo ido a uma loja física fazendo-se passar pela vítima.
Uma vez obtido o SIM duplicado, o cibercriminoso só precisa inserir o cartão em um dispositivo para acessar todas as informações e dados da conta da vítima, incluindo registros de chamadas e histórico de mensagens. A partir daí, ele tem controle total e é fácil acessar seu aplicativo bancário e roubar seu dinheiro movendo-o para outra conta. Embora isso signifique usar um código de verificação, não se deve esquecer que o atacante tem acesso à sua linha do celular, então tudo o que eles precisam fazer é copiar e colar o código que foi destinado à vítima.
A Check Point Software compartilha as principais recomendações para evitar ser vítima desta ameaça:
1) Como sempre, atenção aos dados pessoais. Esta é a informação que os cibercriminosos precisam para duplicar um cartão SIM. É por isso que é tão importante ter cuidado com os sites que são visitados. Certificar-se de que o site em questão é oficial e que possui todas as várias medidas de segurança, como uma conexão criptografada, é fundamental por parte do usuário. Outras orientações são procurar o símbolo de cadeado na barra de endereço, que mostra que ele tem um certificado de segurança válido e que a URL começa com httpS://, se não incluir o -S:// final, pode se tratar de uma página de risco.
2) Alerta Phishing. Conhecer as técnicas de phishing é essencial para não ser a próxima vítima e impedir os acessos aos dados pessoais. É preciso estar atento aos e-mails e SMS recebidos, verificando o remetente, se é conhecido; analisando se o e-mail tem erros ortográficos, mesmo que se conheça o remetente. Devemos prestar atenção aos domínios para detectar se são fraudulentos, se têm links ou anexos, entre outros. Muitas vezes, esses tipos de detalhes são sinais de um ataque de phishing.
3) Estar atento à perda de sinal: Uma maneira fácil e eficaz de descobrir que há um cartão SIM duplicado é que o usuário perderá completamente seu sinal de celular. Isso ocorre porque, agora, o usuário terá um telefone com um cartão SIM que não tem acesso a uma rede móvel. Como resultado, o usuário não poderá mais fazer ou receber chamadas e mensagens de texto. Se isso acontecer, será preciso entrar em contato com as autoridades e sua operadora de celular para que possam desativar o SIM e iniciar o processo de recuperação de seus dados.
“É mais que evidente que os cibercriminosos fazem de tudo para inventar novas formas de roubar os dados de potenciais vítimas e assim alcançar os seus objetivos. A imaginação não tem limites. Daí ser tão premente os usuários adquirirem conhecimentos de cibersegurança, pois só assim serão capazes de detectar os sinais de ataque. Não estando a par das pequenas pistas que as ameaças vão deixando, o risco se agrava, tal como as consequências potenciais que podem ir desde a falsificação de identidade a perdas financeiras e muito mais,” alerta Eduardo Gonçalves, country manager da Check Point Software Brasil.
