SIM swap: entenda como 'clonagem' de celular leva a 'roubo' de Instagram
Vítima de um golpe, a humorista Livia La Gatto viu sua conta no Instagram passar de uma hora para outra a divulgar um falso investimento. Tudo tática de bandidos para incentivar algumas pessoas a fazer Pix de grandes volumes de dinheiro.
Repaginado para o mundo dos influenciadores, o golpe não é novo e tem nome: SIM swap. No passado, envolvia o roubo de contas do WhatsApp, mas se expandiu para o Instagram.
A tática consiste em pegar perfis de usuários para fazer publicações de vendas se passando pelas vítimas.
A segunda fase do crime é induzir os interessados a realizar transações via Pix. Os enganados nunca veem os produtos comprados chegarem ou os investimentos serem feitos.
A estratégia dos criminosos tem ganhado as redes sociais, pois uma postagem de alguém conhecido não levanta suspeitas.
Nesse método de ataque, os criminosos nem precisam encostar no aparelho celular da vítima. É uma invasão "pelo ar", em que o roubo é feito de forma remota. Muitas vezes, a vítima só fica sabendo quando é tarde, ao ser avisada por conhecidos sobre postagens de vendas nas redes sociais.
A engenharia do golpe
Segundo especialistas em segurança digital ouvidos por Tilt, uma das maneiras de aplicar o golpe é por meio do SIM swap, quando o criminoso "clona" o número de um chip de celular.
Em posse dele, a pessoa consegue acessar informações como mensagens, senhas e contas de redes sociais das vítimas. Dessa forma:
- Para configurar em seu telefone/computador o Instagram da vítima, o criminoso recorre a opção "redefinir senha".
- Se a vítima tiver configurado a camada de segurança chamada "autenticação em dois fatores/duas etapas", um código de verificação será enviado para o número de telefone cadastrado.
- É nessa hora que o bandido consegue "clonar" a conta do Instagram. Fala-se popularmente em clonar um perfil, mas o termo mais correto é roubar.
A "clonagem" do chip de celular
A "clonagem" do número de um chip é um processo legítimo, que as operadoras podem fazer. Bandidos, porém, estão se aproveitando indevidamente da situação. Funciona assim:
- Para fazer o SIM swap, criminosos pegam um chip em branco (limpo);
- Usando dados da potencial vítima --que podem ser obtidos em vazamento de dados ou publicações nas redes sociais, por exemplo--, eles ligam para a operadora e se passam por ela;
- No contato com as teles, eles solicitam a ativação do novo chip. Alegam, geralmente, que o chip anterior foi perdido ou roubado.
Um falsário liga para a operadora se passando pela vítima, e pede a ativação do número nesse novo chip, fornecendo todos os dados pessoais necessários para fazer esse processo Martha Carbonell, presidente-executiva da Law 360, empresa que implanta a LGPD (Lei Geral de Proteção de Dados) em companhias
- Sem imaginar que se trata de golpe já que os dados necessários foram confirmados, a operadora realiza a ativação da conta no chip dos bandidos;
- Com isso, o invasor tem acesso a ligações, mensagens SMS e senhas da vítima -- caso esteja salvas.
Para o especialista em cibersegurança Leandro Gouvêa, esse tipo de invasão ainda acontece devido às falhas nos sistemas do controle de dados das pessoas.
Grande parte das empresas ainda tem falhas no sistema de manutenção dos dados cadastrais de clientes possibilitando o vazamento de dados, por exemplo. Além disso, na outra ponta do golpe, estão as operadoras que precisam adotar sistemas mais rigorosos no quesito a validação dos dados de seus usuários. É um assunto que ainda precisa ser muito debatido Leandro Gouvêa, especialista em cibersegurança
Como se proteger?
Todos podem adotar algumas medidas para dificultar a vida dos criminosos e aumentar a proteção.
A principal dica dos entrevistados é evitar quando for possível o uso de SMS ou ligação telefônica como método de recuperação de senha de aplicativos. Uma vez que o criminoso tem o seu número, ele certamente tentará reativar dessa forma programas como WhatsApp e suas redes sociais.
"O ideal é que o usuário use aplicativos de tokens [senhas] de acesso, como Google Authenticator, Authy para proteger senhas e, consequentemente, contas", acrescenta Martha.
Fui vítima do golpe. E agora?
Caso você ou alguém conhecido tenha sido vítima deste golpe, siga o passo a passo destacado pelo Instagram na Central de Ajuda:
- Toque em "Obter ajuda para entrar" na tela de login;
- Digite nome de usuário, endereço de email ou telefone associado à conta e clique em "Enviar link para login";
- Responda o captcha para confirmar se você é um ser humano e clique em "Avançar";
- Clique no link para login em seu email ou SMS e siga as instruções na tela; opte por um endereço de email ao qual apenas você tenha acesso.
As orientações valem para:
- Conta invadida
- Conta publicando conteúdo não autorizado
- Email da conta foi alterado
- Vítima de phishing no Instagram (tipo de golpe que usa iscas para convencer pessoas)
Outros cuidados:
- Evite postar dados pessoais nas redes sociais. Eles podem ser facilmente usados para enganar você e seus conhecidos.
- Tenha atenção com códigos recebidos via SMS, quando não houver motivo para recebê-los.
- Nunca compartilhe o código de ativação do WhatsApp e das redes sociais;
- Desconfie de telefonemas em que alguém solicite seus dados pessoais e códigos enviados por SMS.
*Com informações de Lucas Carvalho, de Tilt, em São Paulo
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.