O golpe de SIM swap (troca de chip) funciona quando um criminoso usa engenharia social para convencer uma operadora de telefonia a transferir o seu número de celular para um novo chip (SIM card) sob o controle do invasor. Com isso, o golpista intercepta todas as suas ligações e mensagens SMS, conseguindo burlar a autenticação de dois fatores (2FA) e invadir contas bancárias, e-mails e redes sociais.

Principais Aprendizados

  • O ataque explora falhas de segurança e processos humanos nas operadoras de telefonia, não necessariamente no seu aparelho.
  • Mensagens SMS são altamente vulneráveis e não devem ser usadas como método principal de autenticação de dois fatores (2FA).
  • O uso de aplicativos autenticadores independentes (como Google Authenticator ou Authy) neutraliza a principal arma desse golpe.

O que é exatamente o SIM Swap?

O SIM Swap, ou troca de chip, é um tipo de fraude de apropriação de conta (Account Takeover) que tem como alvo a conexão entre o seu número de telefone e o seu cartão SIM físico. Em condições normais, quando você perde seu celular ou compra um aparelho novo com um formato de chip diferente, você solicita à sua operadora que transfira seu número para um novo SIM card. O golpe ocorre quando um criminoso faz essa solicitação se passando por você.

Hacker segurando celular com alerta de SIM Swap

A mecânica do ataque: Passo a passo de um SIM Swap

Para que o ataque seja bem-sucedido, o criminoso precisa realizar uma série de etapas bem orquestradas, que geralmente envolvem coleta prévia de informações e manipulação psicológica.

1. Coleta de dados da vítima (Phishing e vazamentos)

O primeiro passo do invasor é reunir o máximo de informações pessoais sobre o alvo. Isso inclui nome completo, CPF, data de nascimento, endereço e, claro, o número de telefone. Esses dados costumam ser obtidos através de e-mails de phishing, compra de bancos de dados na dark web ou ataques direcionados. Muitas vezes, os cibercriminosos utilizam técnicas automatizadas como o credential stuffing para testar senhas vazadas em múltiplos serviços, facilitando o mapeamento do perfil da vítima.

2. Engenharia social contra a operadora

Com os dados em mãos, o golpista entra em contato com a operadora de telefonia (por telefone ou presencialmente em uma loja). Utilizando técnicas de engenharia social, ele se passa pela vítima, alegando que perdeu o aparelho ou que o chip foi danificado. O objetivo é convencer o atendente a ativar o número da vítima em um chip virgem que está em posse do criminoso. A Agência Nacional de Telecomunicações (Anatel) frequentemente alerta sobre a necessidade de as operadoras reforçarem seus protocolos de identificação para evitar esse tipo de fraude humana.

3. A efetivação da "troca de chip"

Assim que o atendente da operadora conclui a transferência, o celular da vítima perde imediatamente o sinal de rede (exibindo mensagens como "Sem Serviço" ou "Apenas chamadas de emergência"). A partir desse momento, o criminoso recebe todos os SMS e ligações. Se ele já souber como funciona um keylogger, pode ter capturado suas senhas bancárias previamente, precisando apenas do SMS para confirmar a transferência financeira.

Celular sem sinal e invadido

Por que o SMS não é seguro para a Autenticação de Dois Fatores (2FA)?

Muitos serviços online, incluindo bancos e redes sociais, enviam um código por SMS para verificar a identidade do usuário durante o login ou na redefinição de senhas. O SIM Swap prova que o SMS não é um canal seguro. O Instituto Nacional de Padrões e Tecnologia (NIST), uma das maiores autoridades de segurança cibernética do mundo, atualizou suas diretrizes de identidade digital (SP 800-63B) para desaconselhar oficialmente o uso de SMS como método de autenticação de dois fatores, classificando-o como obsoleto e vulnerável a interceptações.

Como saber se você foi vítima de SIM Swap?

Os sinais de um ataque de troca de chip são imediatos e alarmantes. O principal sintoma é a perda repentina e inexplicável de sinal da operadora no seu celular, mesmo em locais com boa cobertura. Logo em seguida, você pode começar a receber e-mails no seu computador informando sobre redefinições de senha, alterações de e-mail de recuperação ou notificações de acessos não reconhecidos em suas contas bancárias e redes sociais.

Escudo protegendo cartão SIM

Como se proteger da troca de chip

Embora parte da responsabilidade recaia sobre as operadoras, você pode adotar medidas para blindar suas contas:

  • Abandone o SMS: Substitua a autenticação por SMS por aplicativos como Google Authenticator, Microsoft Authenticator, Authy ou chaves físicas de segurança (YubiKey).
  • Remova seu número das contas: Sempre que possível, não vincule seu número de telefone a contas críticas, especialmente e-mails de recuperação e contas bancárias.
  • Ative senhas na operadora: Algumas operadoras permitem configurar um PIN ou senha adicional que deve ser fornecida antes de qualquer alteração no seu plano ou chip.
  • Cuidado com o Phishing: Desconfie de e-mails, mensagens ou ligações solicitando dados pessoais, pois são o ponto de partida para o golpe.

Perguntas Frequentes

1. O que devo fazer imediatamente se perceber que sofri um SIM Swap?

O primeiro passo é entrar em contato com sua operadora de telefonia por outro aparelho para bloquear a linha imediatamente. Em seguida, acesse suas contas bancárias e e-mails por um computador seguro, altere as senhas e desconecte todos os dispositivos ativos. Por fim, registre um Boletim de Ocorrência (B.O.).

2. A operadora de telefonia pode ser responsabilizada pelo golpe?

Sim. Segundo o Código de Defesa do Consumidor e diversas decisões judiciais recentes, as operadoras de telefonia podem ser responsabilizadas civilmente por falhas na prestação do serviço que resultem em danos ao consumidor, uma vez que a transferência indevida do número configura falha de segurança interna da empresa.

3. O golpista consegue clonar meu WhatsApp no SIM Swap?

Sim. Como o WhatsApp utiliza o número de telefone e o recebimento de um SMS para registrar a conta em um novo aparelho, o criminoso que domina o seu número consegue ativar o WhatsApp no celular dele. Para evitar isso, é fundamental ativar a Confirmação em duas etapas (PIN de 6 dígitos) dentro do próprio aplicativo do WhatsApp.