Topo

Bandidos reciclam golpe velho para invadir apps de banco 'pelo ar'

Estúdio Rebimboca/UOL
Imagem: Estúdio Rebimboca/UOL

Lucas Carvalho

De Tilt, em São Paulo

23/12/2021 04h00Atualizada em 23/12/2021 10h33

Sem tempo, irmão

  • Roubo de linha telefônica agora é usado por criminosos para invadir contas bancárias das vítimas
  • Criminosos se aproveitam de serviços que usam SMS como sistema de recuperação de senhas
  • Esquema usa logins vazados e até funcionários infiltrados ou cooptados dentro das operadoras

Ligada no wi-fi, Yara Marchioni, 39, nem percebeu quando o sinal de telefone do seu celular desapareceu. O primeiro indício de que algo estava errado foi quando o app da sua conta bancária online enviou uma notificação: "sua transferência não pode ser concluída". Mas ela não tinha feito transferência alguma.

Yara foi vítima do golpe do SIM-swap, um tipo de ataque em que criminosos transferem o número de telefone de uma vítima para outro chip e começam a agir. O método é semelhante ao que quadrilhas usam para invadir apps de banco em celulares roubados, com um detalhe: eles nem precisam encostar no aparelho, é uma invasão "pelo ar".

O roubo é feito de forma totalmente remota, e muitas vezes a vítima só fica sabendo muito tempo depois. Yara, por exemplo, acumula um prejuízo de R$ 30 mil com compras e empréstimos que os criminosos fizeram em seu nome.

"Ameaçaram de colocar meu nome no Serasa", diz a empresária, que trabalha com vendas online. "Perdi uma plataforma de pagamento importante com as minhas clientes. Elas pagaram e o dinheiro foi para os bandidos."

A especialista em inteligência de negócios B., que pediu para não ser identificada, percebeu que tinha sofrido o mesmo ataque graças a uma notificação na tela de bloqueio do celular: "não foi possível verificar este telefone. Provavelmente porque você registrou seu número em outro aparelho", dizia o alerta do WhatsApp. Mas ela não tinha feito isso.

No caso dela, os criminosos movimentaram R$ 28 mil fazendo compras em sites onde o cartão de crédito dela estava pré-cadastrados (ou seja, salvos nos sistemas). Logo em seguida, as transações foram bloqueadas pelo banco e o valor devolvido. Mas o susto também trouxe outros transtornos além do financeiro.

"Como eles invadiram meu email, tinha muita informação pessoal, documentos, uma série de coisas", diz. "Não foi uma abordagem de rua, não teve violência, mas é uma sensação horrorosa. Você está completamente exposto e não sabe o que podem usar contra você. Eles têm seu endereço, sabem onde você mora e tudo."

O empreendedor e influencer Lucas Amadeu, conhecido nas redes como "rei do marketing", também foi vítima desse ataque em agosto deste ano. Nos stories da sua conta no Instagram, ele contou que os criminosos movimentaram R$ 20 mil após sequestrarem seu número de telefone e invadiram sua conta virtual no PayPal.

A anatomia do golpe

O esquema funciona assim: criminosos infiltrados nas operadoras de telefonia, ou quadrilhas que cooptam funcionários dessas empresas, transferem o seu número de telefone para um outro chip, usado num celular deles.

Assim, o chip que está no seu celular fica inutilizável, sem sinal de telefonia ou internet. Com seu número, eles conseguem entrar em quase qualquer conta digital no seu nome.Em fóruns de dados pessoais vazados na internet, os bandidos conseguem cruzar as informações para descobrir mais coisas sobre você, como seu email, por exemplo, para terem mais chances de expandir suas fraudes.

Segundo especialistas ouvidos por Tilt, os bandidos se aproveitam do fato de que a maioria das pessoas não se preocupa em configurar sistemas mais robustos de segurança. Mas a culpa não é só dos usuários.

Muitos serviços online não permitem configurar outro método de recuperação de senha que não seja via SMS —é o caso de apps de transporte como Uber e 99, por exemplo.

Segundo Leonardo Carissimi, diretor de cibersegurança e privacidade da empresa de tecnologia Capgemini, um golpe de SIM-swap bem sucedido depende de duas coisas: que os criminosos tenham já acesso a alguns dados pessoais da vítima e que "a operadora de telefonia tenha mecanismos precários de validação".

"Por exemplo, se a operadora valida o titular da linha com informações como nome, endereço, nome da mãe, data de aniversário, pode facilitar a ação do criminoso que tem estes dados em mãos", afirma Carissimi.

O que dizem as operadoras

Em comum entre os casos de Yara, B. e Lucas foi a operadora que eles usavam quando foram vítimas do ataque: a Claro. E em todos os casos, o primeiro contato com a empresa não foi de grande ajuda, segundo os entrevistados.

No mesmo dia em que notou as compras estranhas no seu nome, Yara foi até uma loja da empresa. A atendente explicou, segundo ela, como se fosse de rotina, que a linha de telefone tinha sido transferida para outro chip e o processo "com certeza" foi feito com a ajuda de um funcionário da própria Claro.

Yara diz que a atendente quis cobrar uma multa de R$ 249 pelo cancelamento da linha antes do fim do período contratado. Em vez disso, a loja apenas transferiu de volta o número roubado, que acabou sendo sequestrado de novo mais duas vezes na mesma semana.

A operadora só concordou em cancelar o número sem cobrar multa após ver dois boletins de ocorrência registrados por Yara.

No caso de B., o atendimento com a Claro foi por telefone. Ela diz que a operadora primeiro questionou se não tinha sido a própria cliente a responsável pela transferência de número. "Perguntaram se eu não fiz pelo aplicativo. Depois disseram 'veja bem, você não tem um filho que possa ter mexido?'", diz.

Após ir a uma loja física da Claro, uma atendente explicou a B. sobre o golpe de SIM-swap e admitiu que um funcionário da operadora deveria ter facilitado a transferência de número.

"O fato de o próprio funcionário da operadora alegar que isso provavelmente é uma transferência de dados interna, mostra um nível de fragilidade muito alto por parte da operadora em relação à segurança dos dados dos clientes", diz Igor Marchetti, advogado do Idec (Instituto Brasileiro de Defesa do Consumidor). "Cabe uma reparação por danos materiais e morais ao consumidor frente à operadora."

Procurada por Tilt, a Claro disse em nota que "os casos relatados pela reportagem estão sendo apurados e se houver comprovação de qualquer prática irregular, serão adotadas as medidas necessárias para saná-las".

Além disso, a empresa disse que "os clientes citados tiveram as linhas restabelecidas" e que não deve haver cobrança de multa para casos semelhantes.

Sobre a presença de criminosos infiltrados ou funcionários cooptados por quadrilhas, a Claro diz que "investe constantemente em políticas e procedimentos de segurança, adotando medidas rígidas para identificar fraudes e proteger seus clientes".

Epidemia de SIM-swap

Mas não é só a Claro que lida com esse tipo de problema. B. conta que, após desativar a linha sequestrada pelos criminosos, resolveu comprar um chip da Vivo. Mas logo de cara, uma funcionária de uma loja física da operadora avisou que ali ela não estaria imune ao SIM-swap.

"Infelizmente isso está acontecendo em outras operadoras. Não posso te garantir que você não vai ter esse problema aqui também", ela ouviu de uma funcionária da Vivo.

"O golpe depende de alguém que tenha o privilégio de fazer isso [transferir a linha telefônica para outro chip]. Alguém pode abordar um funcionário da operadora oferecendo propina ou alguém da própria empresa inicia esse processo e divide o lucro com os criminosos", explica Daniel Barbosa, especialista em segurança da informação da Eset.

Mas até mesmo os funcionários da operadora podem ser vítimas nesse processo. Criminosos podem usar táticas de phishing (isca virtual) para enganar esses funcionários e roubar seus dados de login para terem acesso ao sistema interno das operadoras, por exemplo.

Para Barbosa, as operadoras precisam investir mais na segurança dos seus sistemas internos. Uma sugestão é a de exigir uma autenticação mais robusta ao cliente toda vez que aquele número trocar de chip e tentar acessar a rede da operadora, por exemplo.

Procurada, a Conexis Brasil Digital, entidade que representa as principais empresas de telecomunicações do País, não respondeu sobre casos de SIM-swap em outras operadoras até o fechamento desta reportagem.

Como se proteger

Embora as operadoras precisem fazer a sua parte para mitigar essa "epidemia" de SIM-swaps, usuários comuns também podem adotar algumas medidas para se proteger desse tipo de roubo invisível.

A principal dica dos especialistas é a de não usar SMS ou ligação telefônica como método de recuperação de senha. Sempre que possível, gaste alguns minutos mexendo nas configurações das suas contas online, incluindo email, redes sociais e bancos, para habilitar um método mais seguro —como uma pergunta secreta, que só você saberá a resposta, por exemplo.

Outras sugestões são:

  • Tomar cuidado com os dados postados em redes sociais. "Dados pessoais não devem ser compartilhados, em especial o número do seu telefone", diz Leonardo, da Capgemini;
  • Ter atenção com códigos recebidos via SMS, quando não houver motivo para recebê-los. "Receber uma mensagem SMS inesperada do tipo 'seu código de desbloqueio é XYZ' é um indício forte de algum tipo de fraude está ocorrendo com seu número de telefone", diz Leonardo;
  • Desconfiar de telefonemas, de qualquer origem, em que alguém solicite códigos enviados por SMS.
  • Habilitar as senhas de segurança do seu chip de operadora.
*A fonte pediu para manter seu nome em anonimato.