Ataques de Troca do SIM - Roubando Tudo, Desde os Seus Bitcoins até as Suas Contas no Instagram
Você costuma ver e ouvir, muitas vezes, as pessoas compararem uma senha a uma chave física. Embora seja óbvio de onde vêm os paralelos, existem algumas diferenças. Por exemplo, sem a chave, você não pode destrancar a porta. Obter acesso a uma conta sem a senha é possível, no entanto, e é tudo graças a um ataque chamado troca de SIM.
Índice
O que é a troca de SIM?
Também conhecido como seqüestro do SIM ou um golpe de saída de porta, é justo dizer que ele tem um nome muito descritivo. É o ato de seqüestrar o número do celular da vítima e usá-lo com um cartão SIM diferente. A troca de SIM já existe há alguns anos e, embora ainda não tenha recebido uma atenção significativa da mídia tradicional, parece estar crescendo em popularidade especialmente, como descobriremos em um minuto, entre os jovens cibercriminosos em ascensão.
Como tudo isso funciona?
A troca do SIM é um tipo de roubo de identidade, e como agora você já deve saber, o roubo de identidade é possível pelo fato de que os bandidos têm acesso aos seus dados. Não é nenhuma surpresa que, nesse caso, eles precisem do seu nome, do número do seu celular e, em algumas vezes, de alguns outros detalhes. Ainda não está claro quais são os mecanismos exatos, mas uma investigação recente da Motherboard sugere que as precauções de segurança e as técnicas para contorná-las estão evoluindo.
A dois anos atrás, os criminosos encontrariam as informações da vítima em um banco de dados que vazou e ligariam para a operadora. Eles personificariam a vítima alegando que perderam o cartão SIM. Eles diriam que eles têm outro e pediriam que o número fosse transferido para ele. Naquela época, os protocolos de segurança das operadoras eram menos que perfeitos. O representante de atendimento ao cliente pediriam o número do CPF da vítima ou o endereço residencial, os hackers os forneceriam e a operadora teria o prazer de transferir o número para o cartão SIM errado.
Poucas pessoas ficaram gravemente queimadas e, para evitar maiores problemas, os provedores de serviços móveis não tiveram escolha a não ser atualizar os mecanismos de autenticação. O jogo ficou sujo. Os bandidos começaram a subornar funcionários que ajudaram a transferir ilegalmente o número dos celulares de algumas pessoas. Os trabalhadores corruptos também ganharam bastante dinheiro por sua cooperação - entre US $80 a US 100 por vítima.
Para que é usada a troca de SIM
A polícia está levando o SIM a sério, e as agências têm seguido o rastro de um grupo de criminosos que defraudaram muitas pessoas usando essa técnica. No mês passado, eles prenderam Joel Ortiz, de 20 anos, que supostamente sequestrou o número dos celulares de cerca de 40 pessoas. Em 17 de agosto, Xzavier Narvaez, que tem apenas 19 anos, foi levado para interrogatório em relação a uma operação de troca do SIM em larga escala. Basicamente, você tem adolescentes se apoderando do número de telefone de outra pessoa. Infelizmente, os resultados são muito mais sérios do que alguns trotes.
Há algum tempo, os provedores de serviços on-line, tais como o Google, começaram a permitir que você adicionasse o seu número de telefone à sua conta. Isso não é um rastreamento e uma coleta de dados sem sentido. A ideia é que, se você perder o acesso ao seu perfil, o Google poderá confirmá-lo por meio de uma mensagem de texto ou uma chamada para o número que você forneceu. O mesmo mecanismo exato de recuperação de conta está sendo agora abusado pelos trocadores de SIM.
Quando conseguem roubar o número do telefone, os bandidos precisam agir rapidamente, porque antes de desativar a vítima, a operadora envia uma notificação por texto sobre o cartão SIM atualizado. Segundo relatos, os trocadores de SIM usam o número seqüestrado para obter acesso ao e-mail da vítima, e então redefinem as senhas para outras contas on-line. Eles se movem rapidamente e quase não deixam tempo para a vítima reagir. Como os criminosos obtêm todos os textos e chamadas da vítima, a autenticação de dois fatores é muitas vezes ignorada.
Porém, os trocadores de SIM não têm como alvo qualquer pessoa. A investigação da Motherboard informou sobre um movimentado mercado on-line onde contas roubadas do Instagram com identificadores interessantes como "@Rainbow" são compradas e vendidas por centenas e às vezes milhares de dólares.
Falando do Instagram, o já mencionado Xzavier Narvaez fez o que qualquer jogador de 19 anos faria - ele usou a plataforma de compartilhamento de imagens para mostrar ao mundo o quão caro é o seu novo supercarro. Os policiais suspeitam que ele possa tê-lo comprado com os bitcoins que ele roubou depois de trocar o SIM dos números de telefone de alguns operadores de moedas de alto perfil. Em abril, um desses operadores chamado Michael Terpin entrou com uma ação contra a AT & T, alegando que por causa das más práticas de segurança da operadora, ele foi vítima de um ataque de troca de SIM que lhe custou mais de US $20 milhões em moeda digital.
Os bandidos estão se apaixonando profundamente pela troca do SIM, o que, deve ser dito, não é uma surpresa. A proporção de habilidades necessárias para ganhos potenciais é ótima para eles, e é óbvio que os provedores de serviços móveis não estão fazendo o suficiente para frustrar os ataques. A gente aqui, fica esperando que isso mude em breve.
