Criminosos escalando ataques de troca de SIM para roubar milhões de dólares

Como o ransomware continua a ser um problema contínuo na proteção dos dados dos usuários, há um golpe de telefone celular que o público também precisa estar ciente. O FBI diz que os criminosos aumentaram os ataques de troca de cartões SIM para sequestrar os números de telefone das vítimas e roubar milhões de dólares de contas fiduciárias e virtuais.

O FBI relata que, de janeiro de 2018 a dezembro de 2020, o Centro de Reclamações de Crimes na Internet do FBI recebeu 320 reclamações relacionadas a golpes de troca de SIM, com os danos totalizando US$ 12 milhões.

“Quando as pessoas se perguntam quais são as consequências de violações de dados em larga escala, é exatamente isso”, disse Chris Clements, vice-presidente de arquitetura de soluções da Cerberus Sentinel. “Tanto as pessoas quanto as empresas ficaram condicionadas a poder verificar a identidade por meio de perguntas simples como CPF ou nome de solteira da mãe. Infelizmente, isso desmorona completamente quando ocorrem violações de dados que afetam milhões de pessoas rotineiramente. Agora, as informações que anteriormente eram consideradas relativamente privadas estão nas mãos de partes mal-intencionadas que podem aproveitá-las para facilmente se passar por suas vítimas.”

O que é a troca de SIM?

A troca de SIM é um golpe no qual partes mal-intencionadas visam operadoras de celular para obter acesso às contas bancárias das vítimas, contas em moeda virtual e informações confidenciais adicionais usando engenharia social, ameaças internas ou técnicas de phishing. A engenharia social envolve um criminoso para se passar pelo número de celular da vítima, enganando a operadora de celular para mudar o número do celular da vítima para um cartão SIM que está na posse do criminoso, permitindo que a parte mal-intencionada acesse as chamadas, textos e outros dados da vítima, mas este é apenas um dos três métodos usados ​​para roubar fundos das vítimas.

VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic Premium)

A ameaça interna ocorre quando um agente criminoso paga um funcionário da operadora de celular para trocar o SIM da vítima por um cartão atualmente em posse do criminoso. Partes maliciosas também podem empregar técnicas de phishing para acessar dados confidenciais das vítimas e roubar fundos da vítima por meio de seus dados bancários ou serviços de terceiros, como PayPal ou Venmo. Esse nível de acesso aos dados do celular da vítima permite que uma parte mal-intencionada entre em tudo, desde a verificação de mensagens de texto até a autenticação de dois fatores baseada em SMS para explorar as informações confidenciais das vítimas.

“Os provedores de serviços devem passar de meios mais simplistas de validação de identidade para meios mais sofisticados”, disse Clements. “Códigos PIN exclusivos para a conta de cada usuário podem ser uma maneira de adicionar segurança adicional ao processo, e perguntas ‘fora da carteira’ são outra alternativa que funciona verificando informações muito mais difíceis de comprometer, como três últimos endereços residenciais ou carros. Pode ser mais complicado para todos, mas simplesmente não é mais viável confiar em informações que foram rotineiramente comprometidas para validar a identidade de uma pessoa.”

Protegendo-se da troca de SIM

O FBI incentiva tanto os usuários de telefones celulares quanto as empresas que prestam serviços a tomarem medidas adicionais de segurança para proteger suas informações pessoais. Para os usuários de celular, a agência destaca as seguintes dicas:

• Não anuncie informações sobre ativos financeiros, incluindo propriedade ou investimento de criptomoeda, em sites e fóruns de mídia social.
• Não forneça as informações da sua conta de número de celular por telefone para representantes que solicitem a senha ou o PIN da sua conta. Verifique a chamada discando para a linha de atendimento ao cliente da sua operadora de celular.
• Evite postar informações pessoais online, como número de telefone celular, endereço ou outras informações de identificação pessoal.
• Use uma variação de senhas exclusivas para acessar contas online.
• Esteja ciente de quaisquer alterações na conectividade baseada em SMS.
• Use métodos de autenticação multifator fortes, como biometria, tokens de segurança físicos ou aplicativos de autenticação autônomos para acessar contas online.
• Não armazene senhas, nomes de usuário ou outras informações para facilitar o login em aplicativos de dispositivos móveis.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Para operadoras de celular, o FBI recomenda as seguintes ações:

• Eduque os funcionários e realize sessões de treinamento sobre troca de SIM.
• Inspecione cuidadosamente os endereços de e-mail recebidos que contenham correspondência oficial em busca de pequenas alterações que possam fazer com que os endereços fraudulentos pareçam legítimos e se assemelhem aos nomes reais dos clientes.
• Defina protocolos de segurança rigorosos, permitindo que os funcionários verifiquem efetivamente as credenciais do cliente antes de alterar seus números para um novo dispositivo.
• Autentique chamadas de revendedores autorizados de terceiros solicitando informações do cliente.

Se os usuários acreditam que foram vítimas de troca de SIM, o FBI incentiva os usuários de celular a entrar em contato com suas operadoras de celular imediatamente para recuperar o controle de seu número de telefone e, em seguida, acessar suas contas online para alterar suas senhas que protegem seus dados confidenciais. Também é recomendado entrar em contato com instituições financeiras para emitir um alerta preventivo sobre atividades suspeitas, além de relatar qualquer atividade relativa às autoridades locais ou ao escritório de campo local do FBI.