Topo

O que acontece se um hacker roubar o chip do seu celular?

Gabriel Francisco Ribeiro

Do UOL, em São Paulo

15/10/2018 04h00

Atualmente, estamos acostumados a várias ameaças virtuais -- desde vírus por email a golpes ou aplicativos falsos no smartphone. Mas você já parou para pensar no que acontece se um hacker roubar seu chip de celular?

Pois a ação, que pode ocorrer tanto fisicamente quanto virtualmente, pode fazer você perder dinheiro no banco ou acesso a redes sociais, como Facebook e WhatsApp.

Os golpes envolvendo o chip de celular são mais visados -- ou seja, o hacker normalmente atua com um alvo em mente e não "atira às cegas" em busca de vítimas. Segundo Alexandre Moraes, engenheiro especialista em segurança e gerente de pré-venda da empresa de segurança Cylance, existem quatro formas de atuação do criminoso:

  • Roubo físico do chip de um usuário (seja o roubo completo do celular ou só do chip)
  • Falsidade ideológica: criminoso se passa por você com documentos falsos para pegar seu número
  • Atuação de hackers contra sistemas das operadoras, que não seriam 100% seguros
  • Ajuda de uma pessoa dentro da operadora para realizar o roubo virtual do chip (transferir seu número para outro chip)

Os casos mais comuns envolvem os dois últimos -- o roubo virtual do chip a partir do sistema da operadora. Para Alexandre, o caso mais fácil de fraude é o último, que não necessita de nenhum ataque em larga escala, mas apenas engenharia social ao convencer um funcionário da operadora a participar da ação.

Eles podem subornar ou usar alguma engenharia social com alguém que esteja dentro da operadora. É até mais fácil do que o ataque. Só precisa de alguém com acesso para mudar o número do chip

Alexandre Moraes, da Cylance

Prejuízos financeiros para usuários

Ok, o hacker conseguiu pegar o meu chip. E aí, o que rola? Pois é, a brincadeira começa a ficar séria. Sabe aquele banco que manda autenticação de transações por SMS? Segundo Thiago Marques, analista de segurança da Kaspersky, ele pode ser fraudado pelo criminoso envolvido na ação.

"Alguns bancos ainda utilizam o SMS como autenticação. Um criminoso, quando tem acesso ao chip da pessoa ou celular, pode conseguir ter acesso à conta, fazer transações. Isso se ele já conseguiu outras senhas necessárias antes", aponta.

Veja também:

Antigamente, como lembra Alexandre Moraes, bancos utilizavam um token físico que mudava o código a cada espaço de tempo ou cartões de segurança. Depois, algumas instituições passaram a fazer essa autenticação por SMS. A maioria dos bancos já aprimorou a segurança criando tokens dentro dos próprios aplicativos (o celular é autenticado, não o chip), mas nem todos usuários ainda contam com isso.

Redes sociais podem ser invadidas

A tática de roubar o chip tem ficado mais propícia para hackers pela proliferação cada vez maior da "autenticação de dois fatores" em aplicativos e contas. Essa autenticação permite que você adicione um número de telefone para confirmar que é você a cada novo login -- é enviado um SMS com um código para o número escolhido.

É o caso do WhatsApp, por exemplo. Com o número de telefone do usuário em seu chip, o hacker pode logar no aplicativo em qualquer outro celular. Isso se a pessoa não tiver uma autenticação de dois fatores com senha no aplicativo -- o recurso, presente nas configurações do mensageiro, é desabilitado por padrão e nem todos usam.

Facebook e Instagram são outras duas redes sociais que contam com a autenticação de dois fatores com a utilização de um chip. No caso do Facebook, por exemplo, é possível até solicitar uma nova senha se a pessoa cadastrou o número de telefone como login na rede social. Mesmo assim, os dois especialistas defendem que as pessoas sigam usando a autenticação de dois fatores.

Quando faz isso você aumenta o nível de dificuldade da fraude, mas não é infalível. Uma câmera na casa não vai impedir que sua casa seja roubada, mas vai dificultar. O ladrão vai olhar sua casa e vai roubar a do lado que não tem nada

Alexandre Moraes, da Cylance

Ataques são direcionados, mas vítimas se proliferam

Por enquanto, os ataques de hackers a chips têm sido direcionados, mas casos do tipo surgem com cada vez mais frequência. No Brasil, uma investigação da Polícia Civil e da Polícia Federal descobriu bandidos que clonavam o WhatsApp de políticos (entre eles ministros, deputados e uma governadora) para roubar dinheiro de contatos. A polícia apurava o envolvimento de pessoas dentro das operadoras, já que ocorria transferência de chips.

"A maioria dos casos é direcionada. Existem casos públicos de políticos que foram escolhidos para serem utilizados nesse tipo de ataque. É direcionado, ele já sabe quem é a pessoa, pode saber o email, pode ser que tenha uma senha que conseguiu por phishing e só precisa dessa questão do chip para ganhar acesso total", conta Thiago Marques.

Casos do tipo também ocorrem fora do Brasil. Nos Estados Unidos, um repórter do site Techcrunch teve o chip roubado por hackers, que invadiram seu Facebook e passaram a pedir dinheiro para outros contatos na rede social.

Na mesma reportagem do Techcrunch, é relatada uma outra ação. Michael Terpin, investidor de criptomoedas, perdeu US$ 24 milhões ao ter seu chip da operadora AT&T roubado -- ele usava uma autentificação por SMS no aplicativo que gerenciava contas de seus investimentos.

Terpin processa a operadora em US$ 224 milhões, alegando que alguém pediu uma transferência não autorizada de chip na sua conta da AT&T e acusa a operadora de fraude e "negligência grosseira". Existem outros casos semelhantes que ocorreram com investidores de criptomoedas.

Como se proteger

Existe mais uma má notícia para você. Em casos de trocas de chips, não há muito o que você possa fazer, segundo os especialistas. Como é algo que foge totalmente do seu controle e compete ao sistema das operadoras, o usuário pode ficar refém destes casos.

O usuário tem apenas algumas saídas. Uma delas é ficar atento para sua conexão com as operadoras -- se perceber muitas instabilidades da rede, SMS não chegar ou ficar desconectado por um tempo grande sem sentido, deve ligar na operadora para alertar sobre o problema.

Outro ponto que o usuário pode fazer é configurar um aplicativo de autenticação de dois fatores, como o Google Authenticator (disponível tanto no iOS quando no Android). Esse app permite substituir a mensagem por SMS com um código que é gerado no aplicativo -- aí o hacker teria que roubar seu celular e desbloqueá-lo para conseguir acesso.

Nem todos os aplicativos dão a opção de autenticação por apps, mas alguns, como o Facebook e o Instagram, contam com isso. Os especialistas também apontam que o usuário precisa sempre configurar senhas para aplicativos que dão essa opção, como é o caso do WhatsApp. Mas todos os especialistas de segurança são unânimes ao dizer que nenhum sistema é "100% seguro".

Outra coisa também que o usuário pode fazer é evitar divulgar seu número em tudo quanto é lado. Saber o número é um ponto que o criminoso pode buscar mais informações daquela pessoa

Thiago Marques, analista da Kaspersky

O que dizem as operadoras

A pedido do UOL Tecnologia, as operadoras se manifestaram por meio do Sinditelebrasil, o sindicato patronal das empresas de telecomunicações no Brasil. A instituição aponta que o setor, por ter muitos clientes, está suscetível a ser vítima de fraude, mas ressaltou que investimentos em segurança são feitos continuamente. Confira o posicionamento completo:

"O setor de serviços de telecomunicações possui mais de 330 milhões de acessos (clientes), entre telefonia fixa, móvel, banda larga e TV por assinatura. Essa elevada quantidade já cria, por si só, possibilidades maiores de o setor de telecomunicações ser vítima de fraudes do que em outros setores com universo menor de usuários. As empresas de telecomunicações investem continuamente em sistemas de segurança e de proteção a seus clientes, e entendem ser crime a contratação e/ou utilização de serviços de telecomunicações com dados de outras pessoas, obtidos muitas vezes por furto de documentos. A empresa de Telecom fraudada é vítima, tanto quanto o consumidor, e combate essas fraudes com a modernização contínua de sistemas de proteção e com o apoio dos órgãos competentes, inclusive da própria polícia quando necessário."