O SIM swapping é um novo tipo de fraude telefônica, onde um cibercriminoso duplica o seu número de telefone e utiliza o sistema de telefonia para usurpar a sua identidade.
Várias pessoas foram vítimas desse tipo de fraude, indo de Sérgio Moro até Jack Dorsey. E tais incidentes deixam em evidência a debilidade de mecanismos como o de mensagens SMS para os sistemas de autenticação em dois passos. Diante disso, é muito mais recomendável utilizar apps independentes de autenticação.
Cuidado… isso pode acontecer com você
Do nada, você fica sem cobertura de sinal. Desliga o telefone, liga de novo, e nada. No final, você descobre que alguém se passou por você para solicitar uma clonagem do seu cartão SIM direto na loja da operadora, em outra cidade.
Depois disso, sua conta bancária pode ser bloqueada por movimentações financeiras estranhas, suas contas nas redes sociais começam a publicar maluquices sem sentido e, no final, você vira material jornalismo do The Intecept Brasil.
Cedo demais para fazer essa piada?
Voltando ao tema.
Aqui, temos dois problemas bem claros: primeiro, pedir a migração do número para outro SIM card é algo relativamente simples. Segundo, faz tempo que o uso do SMS como sistema de autenticação em dois passos é vulnerável a diversos ataques, e esse segundo item é, provavelmente, o mais preocupante de todos eles.
A técnica permite burlar as medidas de segurança que estão no smartphone como sistema de verificação de nossa identidade, e isso é perigoso no atual cenário econômico, mas que também afeta outros vários cenários.
A solução está em nossas mãos (e também nas mãos das operadoras e bancos)
Como eu disse antes, o problema desses ataques são as facetas muito diferentes, ambas com a sua própria solução interdependente: se você não soluciona os dois problemas, o problema principal continua presente.
O primeiro problema é solucionado por quem maneja a informação do número, ou seja, as operadoras, que deveriam ser muito mais exigentes na hora de oferecer a possibilidade em duplicar um SIM card. As verificações de identidade aqui deveriam ser exaustivas para evitar os problemas mais recentes.
Bancos, entidades financeiras e qualquer outra plataforma que segue usando o SMS como sistema de autenticação em dois passos também precisam se livrar desse método e utilizar outras alternativas.
Uma das alternativas mais interessantes para as instituições financeiras são as chaves U2F (Universal 2nd Factor Keys), um padrão aberto de autenticação que faz uso de chaves físicas. Um pendrive codificado e com as informações para confirmação da conta armazena os dados e libera o acesso automático quando confirmado em um equipamento informático.
Por outro lado, o usuário precisa ter o bom senso em não mais confiar no SMS para a autenticação em dois passos. Os principais apps de comunicação (WhatsApp e Messenger) e outras plataformas nas redes sociais contam com ferramentas próprias para identificar usuários, sem falar que Google e Microsoft contam com apps de autenticação independentes, que podem ajudar e muito a evitar ataques como esse.