Para se ter uma ideia, somente no Brasil um grupo organizado de cibercriminosos conseguiu clonar o chip de 5 mil v\u00edtimas, envolvendo n\u00e3o apenas pessoas comuns, mas tamb\u00e9m pol\u00edticos, ministros, governadores, celebridades e empres\u00e1rios famosos. Em Mo\u00e7ambique um golpe causou preju\u00edzo de US$ 50 mil a um empres\u00e1rio, roubados de suas contas banc\u00e1rias, j\u00e1 no Brasil foram identificadas diversas fraudes de R$ 10 mil cada. Por\u00e9m, \u00e9 dif\u00edcil estimar o impacto total desse tipo de ataque na Am\u00e9rica Latina, \u00c1frica e no mundo, pois a maioria dos bancos n\u00e3o divulga as estat\u00edsticas publicamente.<\/p>\n
Na \u00c1frica, o maior banco de Mo\u00e7ambique registrou uma m\u00e9dia mensal de 17,2 casos de fraude por clonagem de chips. Tal situa\u00e7\u00e3o levou bancos e operadoras no pa\u00eds a adotar uma solu\u00e7\u00e3o simples, por\u00e9m eficaz no combate \u00e0 fraude. Eles desenvolveram um sistema integrado de consulta em tempo real que possibilitou zerar os casos de fraude no pa\u00eds.<\/p>\n
A investiga\u00e7\u00e3o tamb\u00e9m mostrou que, em alguns casos, o alvo pretendido \u00e9 a pr\u00f3pria operadora de celular. Isso acontece quando funcion\u00e1rios da operadora n\u00e3o conseguem identificar um documento fraudulento e permitem que o fraudador ative um novo chip. Outro grande problema s\u00e3o os funcion\u00e1rios corruptos, recrutados pelos cibercriminosos, que pagam de 40 a 150 reais por chip ativado. No entanto, o pior tipo de ataque ocorre quando um cibercriminoso envia um e-mail de phishing com o objetivo de roubar as credenciais do funcion\u00e1rio para ter acesso direto ao sistema da operadora. Quando isso acontece, o cibercriminoso consegue realizar um ataque em duas ou tr\u00eas horas sem muito esfor\u00e7o.<\/p>\n
\u201cO interesse dos cibercriminosos nas fraudes de SIM swap \u00e9 t\u00e3o grande que alguns at\u00e9 vendem este servi\u00e7o para outros criminosos. Os fraudadores atiram em todas as dire\u00e7\u00f5es; os ataques podem ser direcionados ou n\u00e3o, mas qualquer pessoa pode ser v\u00edtima. Tudo o que o criminoso precisa \u00e9 do n\u00famero do celular, que pode ser obtido facilmente pesquisando vazamentos de bancos de dados, comprando bancos de dados de empresas de marketing ou usando aplicativos que oferecem servi\u00e7os de bloqueio de spam e identifica\u00e7\u00e3o do chamador. Na maioria dos casos, \u00e9 poss\u00edvel descobrir o n\u00famero do seu celular com uma simples busca no Google\u201d, explica Fabio Assolini, analista s\u00eanior de seguran\u00e7a da Kaspersky Lab e correspons\u00e1vel pela pesquisa.<\/p>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2019\/04\/17175642\/818a318b-14bf-4cf2-ab08-536fb27a441c.png\")
Fabio Assolini: qualquer pessoa pode ser atacada<\/p><\/div>\n
\u00a0<\/p>\n
WhatsApp e fintechs<\/strong><\/h3>\nA t\u00e9cnica de clonagem de chips tamb\u00e9m gerou um novo tipo de ataque conhecido como \u2018clonagem do WhatsApp\u2019. Neste caso, depois da ativa\u00e7\u00e3o do chip no celular do criminoso, ele carrega o WhatsApp para restaurar os chats e contatos da v\u00edtima no aplicativo. Ent\u00e3o, manda mensagens para os contatos como se fosse a v\u00edtima, falando de uma emerg\u00eancia e pedindo dinheiro. \u00a0Alguns dos ataques atingiram empresas depois que cibercriminosos conseguiram sequestrar o celular de um executivo e usaram a clonagem do WhatsApp para solicitar recursos do departamento financeiro da empresa. O golpe \u00e9 semelhante ao comprometimento de e-mails corporativos (BEC), mas usando contas do WhatsApp.<\/p>\n
De maneira semelhante, os cibercriminosos passaram a usar esta t\u00e9cnica para burlar os avan\u00e7os no setor financeiro, incluindo de fintechs populares e assim esvaziar as contas banc\u00e1rias das v\u00edtimas. Como a maioria dos aplicativos financeiros ainda depende da autentica\u00e7\u00e3o de dois fatores, os cibercriminosos conseguem usar a fun\u00e7\u00e3o de recupera\u00e7\u00e3o de senha do aplicativo para receber um c\u00f3digo SMS e, assim, ter total controle sobre a conta do usu\u00e1rio e efetuar pagamentos ilegais usando o cart\u00e3o de cr\u00e9dito registrado no aplicativo.<\/p>\n
\u201cEmbora n\u00e3o haja uma solu\u00e7\u00e3o milagrosa, a extin\u00e7\u00e3o da autentica\u00e7\u00e3o de dois fatores via SMS \u00e9 o melhor caminho a seguir. Isso \u00e9 particularmente verdadeiro quando falamos de Internet Banking. Quando os servi\u00e7os financeiros pararem de usar esse tipo de autentica\u00e7\u00e3o, os golpistas ir\u00e3o focar em outras coisas, como redes sociais, servi\u00e7os de e-mail e mensageiros instant\u00e2neos para continuar roubando\u201d, conclui Assolini.<\/p>\n
Como n\u00e3o ser v\u00edtima:\u00a0<\/strong><\/p>\n\n- Quando poss\u00edvel, os usu\u00e1rios devem evitar usar a autentica\u00e7\u00e3o de dois fatores<\/a> via SMS, optando por outros m\u00e9todos, como a gera\u00e7\u00e3o de uma autentica\u00e7\u00e3o \u00fanica (OTP) via aplicativo m\u00f3vel (como o Google Authenticator) ou o uso de um token f\u00edsico. Infelizmente, alguns servi\u00e7os online n\u00e3o apresentam alternativas. Nesse caso, o usu\u00e1rio precisa estar ciente dos riscos.<\/li>\n
- Quando \u00e9 solicitada a troca do chip, as operadoras devem implementar uma mensagem automatizada que \u00e9 enviada para o n\u00famero do celular, alertando o propriet\u00e1rio de que houve uma solicita\u00e7\u00e3o de troca do chip e, caso ela n\u00e3o seja autorizada, o assinante deve entrar em contato com uma linha direta para fraudes. Isso n\u00e3o impedir\u00e1 os sequestros, mas avisar\u00e1 o assinante para que ele possa responder o mais r\u00e1pido poss\u00edvel em caso de atividades maliciosas. Caso a operadora n\u00e3o ofere\u00e7a esse tipo de servi\u00e7o, o usu\u00e1rio deve entrar em contato solicitando um posicionamento a respeito.<\/li>\n
- Para evitar o sequestro do WhatsApp, os usu\u00e1rios devem ativar a dupla autentica\u00e7\u00e3o (2FA<\/a>) usando um PIN de seis d\u00edgitos no dispositivo, pois isso adiciona uma camada extra de seguran\u00e7a que n\u00e3o \u00e9 t\u00e3o f\u00e1cil de burlar.<\/li>\n
- Solicite que seu n\u00famero seja retirado das listas<\/a> de IDs de aplicativos que identificam chamadas; eles podem ser usados por golpistas para encontrar seu n\u00famero a partir do seu nome.<\/li>\n<\/ul>\n
- \n
- Quando poss\u00edvel, os usu\u00e1rios devem evitar usar a autentica\u00e7\u00e3o de dois fatores<\/a> via SMS, optando por outros m\u00e9todos, como a gera\u00e7\u00e3o de uma autentica\u00e7\u00e3o \u00fanica (OTP) via aplicativo m\u00f3vel (como o Google Authenticator) ou o uso de um token f\u00edsico. Infelizmente, alguns servi\u00e7os online n\u00e3o apresentam alternativas. Nesse caso, o usu\u00e1rio precisa estar ciente dos riscos.<\/li>\n
- Quando \u00e9 solicitada a troca do chip, as operadoras devem implementar uma mensagem automatizada que \u00e9 enviada para o n\u00famero do celular, alertando o propriet\u00e1rio de que houve uma solicita\u00e7\u00e3o de troca do chip e, caso ela n\u00e3o seja autorizada, o assinante deve entrar em contato com uma linha direta para fraudes. Isso n\u00e3o impedir\u00e1 os sequestros, mas avisar\u00e1 o assinante para que ele possa responder o mais r\u00e1pido poss\u00edvel em caso de atividades maliciosas. Caso a operadora n\u00e3o ofere\u00e7a esse tipo de servi\u00e7o, o usu\u00e1rio deve entrar em contato solicitando um posicionamento a respeito.<\/li>\n
- Para evitar o sequestro do WhatsApp, os usu\u00e1rios devem ativar a dupla autentica\u00e7\u00e3o (2FA<\/a>) usando um PIN de seis d\u00edgitos no dispositivo, pois isso adiciona uma camada extra de seguran\u00e7a que n\u00e3o \u00e9 t\u00e3o f\u00e1cil de burlar.<\/li>\n
- Solicite que seu n\u00famero seja retirado das listas<\/a> de IDs de aplicativos que identificam chamadas; eles podem ser usados por golpistas para encontrar seu n\u00famero a partir do seu nome.<\/li>\n<\/ul>\n