O que é uma troca de chip
Uma troca de chip é quando os cibercriminosos enganam um serviço de telefonia para que ele mude o serviço da vítima para um chip que eles controlam, basicamente sequestrando o número do celular da vítima. Geralmente o principal objetivo da troca de chip é explorar a autenticação de dois fatores para obter acesso fraudulento a contas bancárias.
Cada chip tem um identificador exclusivo, que é como as redes móveis verificam as assinaturas de provedores de serviços, como a Verizon ou a AT&T; é assim que os dispositivos enviam chamadas telefônicas e mensagens de texto para o celular correto. Mas se você for vítima de uma troca de chip, sua conta de celular será vinculada a um chip diferente e todo o tráfego de rede recebido será desviado para outro lugar.
A troca de chip é uma forma de roubo de identidade que geralmente é resultado de um cibercriminoso que consegue obter seus dados pessoais por meio de phishing. Aprender a interromper mensagens de texto de spam é uma das medidas básicas que você pode tomar para evitar o roubo de identidade, inclusive a fraude de troca de chip.
Um golpe de troca de chip acontece quando um golpista convence um provedor de serviços a trocar o serviço da vítima por um chip que ele controla.
Como funciona a troca de chip
Para que um ataque de troca de chip seja bem-sucedido, os golpistas precisam se passar por uma vítima e convencer a operadora de telefonia a transferir seu serviço móvel para outro chip. Para fazer isso, eles geralmente alegam que o chip original foi perdido, roubado ou danificado e fornecem informações pessoais confidenciais para “provar” sua identidade.
Esses detalhes podem ser comprados por meio de data brokers encontrados em violações de dados na dark web ou até mesmo roubados com o uso de spywares. Outra tática de coleta de informações é uma versão de phishing chamada smishing, em que mensagens SMS são enviadas por cibercriminosos que se apresentam como empresas respeitadas.
Para executar um ataque de troca de chip, um cibercriminoso pode primeiro fazer phishing para obter informações pessoais.
Um estudo da Universidade de Princeton de 2020 sobre estratégias de engenharia social usadas para enganar empresas de telefonia mostrou que os detalhes a seguir são os mais importantes:
Informações financeiras: Dados sobre o cartão de crédito vinculados à conta, como os quatro últimos dígitos, a data de ativação, o último pagamento e, principalmente, o CVC (código de verificação do cartão) no verso.
Detalhes do dispositivo: O IMEI (identificação internacional de equipamento móvel), que é o número de série exclusivo do seu dispositivo, ou o ICCID (identificador de cartão de circuito integrado), que é o número de série exclusivo do seu chip.
Dados pessoais: Seu endereço de cobrança, nome completo, data de nascimento ou apenas seu endereço de e-mail.
Registros de chamadas: Números discados recentemente, datas de chamadas ou identidades dos destinatários.
Credenciais da conta: Autenticadores confidenciais, como PINs, senhas e respostas a perguntas de segurança.
Códigos de acesso de uso único (OTPs): Enquadram-se nos itens que somente você deve “possuir” e são outro fator na autenticação de dois fatores.
Após a troca do chip, o golpista pode acessar todas as contas que usam seu celular na autenticação de dois fatores (2FA). Normalmente, esse método de verificação é seguro, mas se um trocador de chip tiver comprometido o seu número de celular, ele poderá enviar códigos de redefinição de senha da conta para o dispositivo dele e bloquear suas contas de rede social, bancárias e outras contas virtuais.
Sinais de que você está sendo vítima de um ataque de troca de chip
Conhecendo os sinais a serem observados, a detecção de uma troca de chip poderá permitir que você minimize o impacto de um ataque já em andamento.
Aqui estão os principais sinais de alerta a serem observados:
Não é possível fazer chamadas ou enviar mensagens de texto
Se você não consegue fazer chamadas, enviar mensagens de texto ou usar dados móveis, isso é um sinal de que há algo muito errado com sua conexão de rede. O problema pode ser uma simples queda de serviço, mas também uma troca de chip que transferiu seu serviço de celular e número de telefone para outra pessoa.
Notificações sobre atividades em outro lugar
Muitos serviços enviam notificações ao detectar atividades incomuns na conta. Caso comece a receber e-mails sobre atividades suspeitas em suas contas, pode haver uma troca de chip em andamento. Da mesma forma, sua operadora pode enviar uma mensagem de confirmação de que seu número de celular foi ativado em um novo dispositivo.
Você não consegue acessar contas
Geralmente a primeira ação dos cibercriminosos ao trocar o chip é bloquear o acesso às suas contas alterando as senhas. Algumas contas também bloqueiam automaticamente o acesso como medida de segurança após muitas tentativas de login duvidosas. Portanto, a perda de acesso é um sinal claro de que alguém comprometeu — ou está tentando comprometer — suas contas, e você deve tomar medidas imediatas para protegê-las.
Você encontra transações não autorizadas
Normalmente o objetivo final de um ataque de troca de chip é drenar a conta bancária da vítima. Se você receber notificações sobre transações que não fez, pode ser devido à troca de chip. Nesse caso, além de contestar as cobranças não autorizadas e proteger suas contas financeiras, é fundamental recuperar o controle do seu número de celular o mais rápido possível.
O que fazer se você for vítima de um golpe de troca de chip
Se você acha que foi vítima de uma troca de chip, aja rapidamente para evitar novas invasões. Para recuperar o controle de suas contas financeiras e do serviço da operadora de celular, siga as etapas a seguir:
1. Entre em contato com a operadora de telefonia
Caso suspeite que foi vítima de um golpe de troca de chip, entre em contato com a operadora de celular o mais rápido possível. Talvez seu provedor não consiga capturar o criminoso, mas pode acabar com a fraude cortando o acesso dele à sua rede móvel.
Se você for cliente da Verizon, disque *611 para fazer uma chamada gratuita que funcionará mesmo que seu dispositivo tenha sido desconectado. Você também pode visitar a página de relatórios de troca de chip da Verizon para obter informações de contato e outras orientações sobre como evitar fraudes de troca de chip.
Se você tiver cobertura da AT&T, poderá ligar para 1-800-331-0500 ou enviar uma reclamação de fraude de troca de chip aqui.
O número de contato da T-mobile para proteção contra troca de chip é 1-800-937-8997.
Os clientes da US Cellular podem entrar em contato com a empresa em caso de suspeita de troca de chip ou phishing pelo telefone 1-888-944-9400.
2. Proteja suas contas financeiras
Em seguida, entre em contato com seu banco para informá-lo da situação. A equipe de suporte da empresa dará orientações sobre como proteger suas finanças, mas congele as contas para bloquear todas as transações até ter certeza de que elas estão seguras. Se as transações não autorizadas já tiverem sido efetuadas, inicie o processo de disputa para ver se elas podem ser canceladas ou reembolsadas.
3. Desative a autenticação de dois fatores e altere suas senhas
Até ter certeza absoluta de que o golpista responsável pela troca de chip não tem mais acesso às suas mensagens de texto e chamadas, evite que ele bloqueie outras contas. Para isso, entre na conta relevante, desative a autenticação de dois fatores nas configurações e escolha uma nova senha forte.
Além de reativar a 2FA assim que o serviço de celular for restaurado para um cartão SIM que você controla, certifique-se de ter todos os recursos de segurança e notificações da conta ativados para ajudar a detectar e evitar ataques de troca de chip e outras invasões no futuro.
Como evitar golpes de troca de chip?
Muitas dicas de proteção contra troca de chip são as mesmas para evitar golpes na Amazon, golpes de suporte técnico e outras estratégias genéricas criadas para comprometer seus dados pessoais e acessar seus dispositivos. Mas há ações específicas que você pode tomar para ajudar a evitar invasões de 2FA no golpe da troca de chip.
Veja como se proteger contra fraudes de troca de chip:
Modifique seu comportamento online
Os golpistas de troca de chip perseguem ciberneticamente seus alvos antes de atacar. Cada informação que você publica pode ser usada para criar seu perfil de identidade. Nunca publique seu endereço ou número de celular e evite divulgar seu nome completo e data de nascimento. Você também deve ter cuidado ao compartilhar dados pessoais que somente você deveria saber.
Não responda a ligações, e-mails ou mensagens de texto que solicitem informações pessoais
Instituições legítimas nunca ligarão para você e solicitarão seus dados particulares. Os golpistas podem tentar se passar por seu provedor de serviços, banco ou até mesmo governo para induzir você a fornecer informações pessoais. Os cibercriminosos de troca de chip também costumam usar mensagens SMS para buscar informações ou acionar malware.
Melhore a segurança de sua conta
Para proteger seus aplicativos e contas, considere usar autenticação biométrica, como o Face ID, para uma 2FA mais segura. Confira também os melhores gerenciadores de senhas que podem ajudar a manter suas senhas exclusivas e complexas. Algumas operadoras também oferecem medidas específicas para o chip, como a proteção de chip da T-Mobile.
Use códigos PIN
Altere o PIN padrão do chip do seu celular definindo manualmente um PIN ou senha no chip por meio das configurações do celular. Muitas operadoras agora também oferecem PINs de transferência de número que entram em vigor quando uma mudança de chip é solicitada. Isso significa que, se alguém tentar fazer uma troca de chip com você, a pessoa precisará primeiro do seu PIN, independentemente dos outros dados que possuir.
Crie IDs sem seu número de celular
Algumas empresas, como a Yubikey, oferecem fatores de autenticação de hardware que não estão vinculados ao seu chip ou número de celular. Digite seu nome de usuário e senha como de costume. No entanto, em vez de receber um texto, uma notificação ou uma ligação de verificação, você pressiona um botão no dispositivo conectado, o qual tem um identificador exclusivo.
Configure alertas de bancos e de operadoras de celular
Você pode solicitar e-mails de notificação ou mensagens de texto para receber alertas sobre qualquer alteração em suas contas bancárias ou de operadora de celular. Isso funciona como um sistema de alerta antecipado que pode ajudar você a detectar e evitar ataques de troca de chip e outras atividades fraudulentas antes que qualquer dano.
Fique sem celular
Se uma conta for particularmente sensível ou for um alvo provável para golpistas, considere vinculá-la a um celular temporário sem contrato ou simplesmente não vinculá-la a um celular. Pode ser um pouco mais trabalhoso para você, mas a tranquilidade de saber que tem proteção contra a troca de chip e outros golpes pode valer a pena.
Aplicativos de autenticação
Em vez de se autenticar por meio do serviço telefônico, utilize aplicativos como o Google Authenticator, que não podem ser transferidos para outros dispositivos e são protegidos por uma camada extra de segurança, como um PIN ou fator biométrico. Isso dificulta a exploração por parte dos cibercriminosos, mesmo que você perca um celular que tenha Google Authenticator.
