Segurança de SMS e SIM: como funcionam os ataques de troca de SIM
Em janeiro de 2024, a conta oficial X (Twitter) da SEC foi sequestrada. Uma postagem falsa sobre a aprovação do ETF Bitcoin movimentou os mercados em bilhões de dólares. O vetor de ataque? Um SIM swap — o invasor convenceu uma operadora a transferir o número de telefone da SEC para seu cartão SIM e, em seguida, usou-o para redefinir a senha da conta.
Seu número de telefone não é apenas uma forma de entrar em contato com você. É uma chave mestra para seu e-mail, contas bancárias, carteiras criptográficas e mídias sociais. E é surpreendentemente fácil de roubar.
Como funcionam os ataques de troca de SIM
Um ataque de troca de SIM é uma forma de roubo de identidade em que um invasor assume o controle do seu número de telefone. Este é o processo:
Etapa 1: coletar informações pessoais
O invasor coleta seus dados pessoais – nome, endereço, data de nascimento, últimos quatro dígitos do seu SSN – de violações de dados, mídias sociais ou sites de corretagem de dados. Muitas vezes, essas informações são suficientes para passar em questões de segurança da operadora.
Etapa 2: Entre em contato com a transportadora
O invasor liga para sua operadora de celular (ou visita uma loja) e se faz passar por você. Eles alegam que perderam o telefone ou precisam de um novo cartão SIM. Usando as informações pessoais coletadas, eles passam na verificação de identidade.
Etapa 3: assumir o controle do número
A operadora transfere seu número para o cartão SIM do invasor. Instantaneamente, você perde o serviço. O invasor agora recebe todas as suas chamadas e mensagens de texto — incluindo códigos de verificação SMS.
A partir daqui, o invasor redefine as senhas de suas contas de e-mail, bancárias e criptografadas usando recuperação de senha baseada em SMS. Todo o processo leva menos de 30 minutos.
Métodos de interceptação de SMS
A troca de SIM não é a única maneira de comprometer o SMS. Os invasores têm várias ferramentas:
Exploração do protocolo SS7
SS7 (Signaling System 7) é o protocolo que conecta redes telefônicas globalmente. Foi projetado em 1975 com segurança zero. Os invasores que obtêm acesso à rede SS7 (geralmente por meio de funcionários de telecomunicações corruptos ou pela compra de acesso) podem:
- Intercepta mensagens SMS em tempo real
- Rastrear localizações de telefones em todo o mundo
- Redirecionar chamadas para números diferentes
Em 2017, os criminosos usaram ataques SS7 para drenar contas bancárias alemãs, interceptando códigos SMS 2FA. Isso não é teórico – está acontecendo em grande escala.
Malware no seu telefone
O malware móvel pode ler mensagens SMS recebidas diretamente do seu telefone. Algumas variantes:
- Solicite permissões de SMS durante a instalação
- Sobreposição de telas falsas em aplicativos bancários
- Encaminhar mensagens silenciosamente para o invasor
Estações base falsas (coletores IMSI)
Dispositivos como Stingrays se fazem passar por torres de celular, forçando a conexão de telefones próximos. Uma vez conectado, o invasor pode interceptar chamadas e mensagens SMS. Esses dispositivos custam apenas US$ 1.000 e podem ser desenvolvidos com software de código aberto.
Por que o SMS 2FA não é seguro o suficiente
Muitos serviços ainda usam SMS para autenticação de dois fatores. Veja por que isso é perigoso:
- SMS não é criptografado — as mensagens viajam em texto simples pela rede da operadora
- As trocas de SIM são fáceis — as operadoras foram processadas por negligência em ataques de troca
- SS7 está quebrado — e não pode ser consertado sem substituir toda a infraestrutura de telefonia global
- Os códigos de recuperação vão para SMS — mesmo se você usar um aplicativo autenticador, a recuperação da conta geralmente volta para SMS
NIST (Instituto Nacional de Padrões e Tecnologia dos EUA) recomenda a autenticação baseada em SMS desde 2016. No entanto, a maioria dos bancos ainda oferece apenas SMS.
A alternativa? Aplicativos autenticadores (Google Authenticator, Authy) ou chaves de segurança de hardware (YubiKey). Leia nosso guia 2FA completo para obter instruções de configuração.
Casos de troca de SIM do mundo real
SEC Twitter Hack (2024)
A conta X da Comissão de Valores Mobiliários dos EUA foi invadida por meio de troca de SIM. Uma postagem falsa de aprovação de ETF Bitcoin foi publicada, causando enorme volatilidade no mercado.
Roubo de criptografia de US$ 400 milhões (2023)
Um ataque coordenado de troca de SIM teve como alvo investidores criptográficos, drenando carteiras protegidas por SMS 2FA. O FBI prendeu a quadrilha, mas a maior parte dos fundos não foi recuperada.
Twitter de Jack Dorsey (2019)
O próprio CEO do Twitter teve sua conta invadida por meio de uma troca de SIM. Se o CEO de uma empresa de tecnologia não está seguro, ninguém está.
Como se proteger
1. Defina um PIN na sua conta da operadora
Ligue para sua operadora e defina um PIN ou senha que deve ser fornecido para qualquer alteração na conta. Esta é a etapa mais importante:
- T-Mobile: PIN da conta nas configurações
- AT&T: Senha de segurança extra
- Verizon: PIN da conta
- A maioria das operadoras: Ligue para o atendimento ao cliente para solicitar um PIN de segurança
2. Mudar para aplicativos autenticadores
Substitua o SMS 2FA por um aplicativo autenticador sempre que possível. Os códigos são gerados no seu dispositivo e nunca viajam pela rede.
Aplicativos recomendados: Google Authenticator, Authy (tem backup na nuvem), Microsoft Authenticator. Para segurança máxima, use uma chave de hardware YubiKey.
3. Ativar bloqueio de número/congelamento de porta
A maioria das operadoras oferece um recurso que impede a portabilidade do seu número sem verificação pessoal com identificação governamental. Ative-o agora.
4. Use um número separado para contas financeiras
Considere usar um número do Google Voice ou um SIM pré-pago secundário exclusivamente para serviços bancários e financeiros. Não compartilhe este número publicamente.
5. Remova seu número de perfis públicos
Seu número de telefone nas redes sociais facilita a engenharia social. Remova-o dos perfis públicos e desative sites de corretagem de dados como Whitepages, Spokeo e BeenVerified.
6. Monitore sinais de troca de SIM
Se você experimentar algum destes, aja imediatamente:
- Perda repentina de sinal de celular
- Mensagens "SIM não provisionado" ou "Sem serviço"
- E-mails inesperados da operadora sobre alterações na conta
- Não é possível fazer chamadas ou enviar mensagens de texto
Se isso acontecer: ligue para sua operadora de outro telefone imediatamente. Em seguida, altere as senhas do seu e-mail e proteja suas contas.
FAQ
O que é um ataque de troca de SIM?
Um ataque de troca de SIM ocorre quando um criminoso convence sua operadora de celular a transferir seu número de telefone para um cartão SIM que ele controla. Assim que tiverem seu número, eles receberão suas chamadas, mensagens de texto e códigos de verificação por SMS.
Alguém pode hackear meu telefone por SMS?
Sim. Os invasores podem enviar links maliciosos via SMS (smishing), explorar vulnerabilidades do protocolo SS7 para interceptar mensagens ou usar ataques de troca de SIM para redirecionar totalmente suas mensagens. É por isso que o SMS não é recomendado para autenticação de dois fatores.
Como posso saber se meu SIM foi trocado?
O sinal mais óbvio é a perda repentina do serviço de celular - sem sinal, sem chamadas, sem mensagens de texto. Você também poderá receber notificações inesperadas da sua operadora sobre alterações na conta. Se isso acontecer, entre em contato com sua operadora imediatamente de outro telefone.
Ferramentas relacionadas
- Password Generator — senhas fortes continuam sendo sua melhor defesa quando o SMS falha
- Guia 2FA — mude de SMS para autenticação segura
- Guia de recuperação de e-mail — o que fazer quando contas são comprometidas