Cyber-atacantes estão usando golpes com cartões SIM para roubar dinheiro e informações
O primeiro cartão SIM foi desenvolvido cerca de 29 anos atrás, em 1991. Agora, há uma boa chance de que haja pelo menos um cartão SIM muito perto de você, e embora você raramente pense muito nisso, a vida sem esse pequeno chip de silício incorporado em um pedaço de plástico seria muito diferente. Quando se trata de comunicação sem fio, os cartões SIM são indispensáveis e, nos últimos anos, eles também nos ajudaram a conectar-nos à Internet em qualquer lugar. Nem sequer mencionaremos os exércitos de gadgets da Internet das Coisas habilitados para SIM que estão se tornando cada vez mais comuns. O impacto que os cartões SIM têm em nossas vidas diárias é bastante substancial, mas pode ser ainda mais significativo se os golpistas decidirem abusar deles.
Índice
SIM trocando em ação
O site financeiro britânico ThisIsMoney.co.uk publicou recentemente a história de Ryan Finnegan - um escocês de 37 anos que viu sua conta bancária esgotada depois de um ataque de troca de SIM. Nós discutimos a troca de SIM no passado, e a história de Ryan Finnegan mostra como essa técnica pode ser implacavelmente eficaz.
Tudo começou quando Finnegan recebeu uma mensagem de texto da Tesco Mobile, seu provedor de serviços de comunicação móvel, agradecendo por entrar em contato com o departamento de atendimento ao cliente da empresa. A coisa era, ele não tinha realmente contactado qualquer pessoa de atendimento ao cliente. Ele ligou para o Tesco Mobile, que lhe disse que algo suspeito poderia estar acontecendo, mas como não havia nada visivelmente errado em sua conta, não havia necessidade de se preocupar.
O conselho "não se preocupe" era ruim. Logo depois, ele recebeu outra mensagem de texto, desta vez do TSB, seu banco. Estava confirmando o seu registro bancário on-line, que era estranho, considerando o fato de que ele havia optado por não usar o sistema bancário on-line. Antes que ele pudesse reagir, os golpistas haviam retirado 2.500 libras da conta bancária de Finnegan.
Telcos e seu papel na troca de SIM
No passado, falamos sobre como a maioria dos ataques cibernéticos se baseia em engenharia social simples, em vez de hackers altamente sofisticados e explorações de dia zero. Quando os criminosos decidem fazer truques mentais, no entanto, na maioria das vezes eles se voltam diretamente para a vítima. Com a troca de SIM, eles usam suas habilidades de engenharia social nos departamentos de atendimento ao cliente das empresas de telecomunicações.
O trabalho de um trocador de SIM é convencer o provedor de serviços a transferir o número da vítima para outro cartão SIM. Como você pode ver no caso do Sr. Finnegan, isso permite que eles personifiquem o alvo e causem todo tipo de dano, incluindo ignorar a autenticação de dois fatores e roubar dinheiro.
No passado, a transferência de um número de telefone para um novo cartão SIM significava ir ao escritório da empresa e fornecer alguma forma de identificação.. Por uma questão de conveniência, as empresas de telecomunicações agora permitem que você faça isso por telefone, mesmo que o número do qual você esteja ligando não seja o que você está tentando mover.
Durante a investigação, a ThisIsMoney.co.uk perguntou a alguns dos principais provedores de serviços móveis do Reino Unido sobre os procedimentos quando um número é transferido pelo telefone. A Tesco Mobile preferiu não comentar, mas o relatório sugere que ela gira em torno de uma questão de segurança. No caso do Sr. Finnegan, a pergunta era "Qual é a sua cor favorita?" aparentemente, e os trocadores de SIM fizeram cinco chamadas consecutivas para o departamento de atendimento ao cliente antes de adivinharem corretamente a resposta. Apesar disso, a Tesco Mobile não conseguiu identificar nada suspeito.
O restante dos provedores de serviço respondeu ao ThisIsMoney.co.uk, e a maioria deles revelou que eles também confiam em questões de segurança. As falhas deste mecanismo de autenticação em particular foram discutidas em um tempo considerável. Na verdade, a maioria das empresas de telecomunicações exige informações adicionais antes de permitir a transferência de números, mas, mesmo assim, na era das redes sociais, a mera presença de uma questão de segurança como meio de verificar a identidade de um usuário não é aceitável.
O que os usuários podem fazer com a troca de SIM?
Ryan Finnegan acabou recebendo seu dinheiro de volta, que é a boa notícia, mas é justo dizer que muitos outros como ele não terão tanta sorte. Em qualquer caso, impedir um ataque é menos estressante do que tentar recuperá-lo. Então o que você pode fazer?
Como sempre, o primeiro passo é conhecer a ameaça e perceber que ela é realmente real. É fácil pensar que os golpistas não se incomodarão com Joe Average, mas o Action Fraud, um serviço britânico de denúncias de crimes cibernéticos, registrou cerca de 550 ataques bem sucedidos de troca de SIM no espaço de três anos, o que mostra que "isso não acontecerá". para mim "a mentalidade não lhe fará nenhum favor.
Saiba como o seu provedor de telecomunicações lida com transferências de números de telefone e considere o que você pode fazer para aproveitar ao máximo os mecanismos que são forçados a você. Às vezes, você não pode escapar de questões de segurança, mas pode torná-las um pouco mais úteis para proteger seus dados. É improvável que os golpistas adivinhem, por exemplo, que o nome do seu cão é "monóxido de di-hidrogênio".
Por último, mas não menos importante, fique atento a qualquer coisa suspeita, e se você perceber algo errado, não perca tempo relatando isso aos fornecedores responsáveis.
