Compreender os Ataques de Troca de SIM: Como os Hackers Exploram o Seu Número de Telefone

Ataques de troca de SIM representam uma das ameaças mais insidiosas enfrentadas pelos utilizadores de criptomoedas atualmente. Ao contrário de tentativas tradicionais de hacking que requerem habilidades avançadas de codificação, a troca de SIM explora uma vulnerabilidade fundamental na forma como os operadores móveis verificam a propriedade da conta. Ao impersonar uma vítima e manipular os representantes do serviço ao cliente de telecomunicações, os atacantes podem redirecionar o seu número de telefone para o seu próprio cartão SIM—dando-lhes controlo total sobre um dos seus ativos digitais mais sensíveis.

O que é uma troca de SIM e como funciona?

No seu núcleo, uma troca de SIM (também conhecida como SIM jacking) é uma forma de roubo de identidade em que um atacante persuade um fornecedor de serviços móveis a transferir o número de telefone da vítima para um novo cartão SIM sob o controlo do atacante. O processo normalmente começa com reconhecimento: o atacante recolhe informações pessoais sobre a vítima através de redes sociais, violações de dados ou registos públicos. Armado com detalhes como o nome, endereço e número de conta da vítima, contacta a equipa de atendimento ao cliente do operador móvel e impersona o titular da conta, alegando ter perdido o telefone ou atualizado o dispositivo.

Uma vez bem-sucedido, o atacante ganha controlo total sobre o número de telefone da vítima. Esta mudança aparentemente pequena abre uma porta de entrada para praticamente todas as contas digitais que a vítima possui.

Porque é que os investidores em criptomoedas enfrentam um risco aumentado com fraudes de troca de SIM

Para os detentores de criptomoedas, os ataques de troca de SIM são particularmente catastróficos. Uma vez que um atacante controla o seu número de telefone, pode usá-lo para redefinir passwords nas suas contas de email e contornar códigos de autenticação de dois fatores (2FA) em exchanges e plataformas de carteiras de criptomoedas. A maioria dos processos de recuperação assume o envio de códigos de verificação via SMS—uma medida de segurança que se torna inútil quando o atacante controla o seu número de telefone.

Isto significa que o atacante pode aceder sistematicamente ao seu email, esvaziar as suas contas de troca e transferir criptomoedas das suas carteiras. Ao contrário do fraude tradicional, onde as vítimas podem recuperar os fundos, as transações de criptomoedas são geralmente irreversíveis. Um ataque bem-sucedido de troca de SIM a um investidor em cripto frequentemente resulta numa perda financeira total, com pouca esperança de recuperação.

O caso de Vitalik Buterin: um aviso do mundo real

A vulnerabilidade tornou-se claramente evidente em setembro de 2023, quando o cofundador do Ethereum, Vitalik Buterin, foi vítima de um ataque de troca de SIM. Os golpistas ganharam controlo da sua conta de telefone na T-Mobile e usaram o seu número comprometido para sequestrar a sua conta no Twitter (agora X). A partir da sua conta verificada, publicaram um link falso de giveaway de NFT, direcionando utilizadores incautos para clicar num URL malicioso. Embora as contas de Buterin tenham sido eventualmente recuperadas, o incidente serviu como um alerta para a comunidade cripto, demonstrando que mesmo figuras proeminentes com elevado nível de segurança permanecem vulneráveis a este vetor de ataque.

Como proteger-se contra ataques de troca de SIM

A defesa mais fiável contra ataques de troca de SIM envolve múltiplas camadas de segurança. Primeiro, adicione uma camada extra de proteção junto do seu operador móvel, solicitando um PIN ou uma palavra-passe para qualquer alteração na conta. Segundo, e mais importante, abandone o 2FA baseado em SMS sempre que possível. Em vez disso, utilize aplicações de autenticação (como Google Authenticator ou Authy) ou chaves de segurança físicas que geram códigos de autenticação de forma independente do seu número de telefone.

Para contas de criptomoedas especificamente, ative todas as funcionalidades de segurança disponíveis: liste endereços de retirada em listas brancas, utilize carteiras de hardware para armazenamento a longo prazo e, mais importante, implemente 2FA baseado em hardware. Considere armazenar os seus ativos digitais mais valiosos em armazenamento frio ou carteiras multi-assinatura que exijam aprovação de múltiplas partes.

Ataques de troca de SIM demonstram porque é que proteger as informações pessoais é inegociável no espaço cripto. O seu número de telefone é agora uma porta de entrada para a sua segurança financeira—trate-o de acordo.