Os criminosos podem roubar o seu número de telefone fazendo-se passar por si e transferindo-o para outro telefone. Depois, recebem códigos de segurança enviados por SMS para o seu telemóvel, o que lhes permite aceder à sua conta bancária e a outros serviços seguros. Assim tenha muito cuidado com a chamada burla da portabilidade.
Burla da portabilidade: podem roubar-lhe o número de telemóvel!
As “burlas da portabilidade” são um grande problema para toda a indústria dos telemóveis. Neste esquema, um criminoso faz-se passar por si e transfere o seu número de telefone atual para outro operador de telemóvel. Este processo é conhecido como “portabilidade” e destina-se a permitir-lhe manter o seu número de telefone quando muda para uma nova operadora de telemóvel. Quaisquer mensagens de texto e chamadas para o seu número de telefone são então enviadas para o telefone deles em vez do seu.
Isto é um grande problema porque muitas contas online, incluindo contas bancárias, utilizam o seu número de telefone como um método de autenticação de dois fatores. Assim não o deixam iniciar sessão sem enviar primeiro um código para o seu telemóvel. Mas, depois de a burla da portabilidade ter sido efetuada, o criminoso receberá esse código de segurança no seu telemóvel. Poderá utilizá-lo para aceder às suas contas financeiras e a outros serviços sensíveis.
Naturalmente, este tipo de ataque é mais perigoso se o atacante já tiver acesso às suas outras contas – por exemplo, se já tiver a sua palavra-passe bancária online ou acesso à sua conta de e-mail. Mas permite ao atacante contornar as mensagens de segurança baseadas em SMS concebidas para o proteger nesta situação.
Este ataque também é conhecido como sequestro de SIM, uma vez que move o seu número de telefone do seu cartão SIM atual para o cartão SIM do atacante.
Como funciona este esquema de portabilidade?
Este esquema tem muito em comum com o roubo de identidade. Alguém com as suas informações pessoais faz-se passar por si e pede ao seu operador de telemóvel para transferir o seu número de telefone para um novo telemóvel. A operadora de telemóvel pedirá que forneça algumas informações pessoais para se identificar, mas muitas vezes, fornecer o seu número de contribuinte entre outras coisas é suficiente. Num mundo perfeito, estes dados seriam privados. Mas, como vimos, basta um simples roubo de informações a uma empresa para tudo isto cair na mão dos criminosos.
Se a pessoa conseguir enganar a sua operadora de telemóvel, a troca efetua-se de imediato. Entretanto quaisquer mensagens SMS enviadas para si e chamadas telefónicas destinadas a si serão encaminhadas para o telefone dela. O seu número de telefone associa-se ao telefone do criminoso. Depois o seu smartphone atual deixa de ter serviço de chamadas, mensagens de texto ou dados.
Isto é apenas mais uma variação de um ataque de engenharia social. Alguém liga para uma empresa fingindo ser outra pessoa e utiliza a engenharia social para obter acesso a algo que não deveria ter. Tal como outras empresas, as operadoras de telemóveis querem que tudo seja o mais fácil possível para os clientes legítimos. Assim a sua segurança pode não ser suficientemente apertada para afastar todos os atacantes.
Evite confiar no seu número de telefone como método de segurança
As burlas de portabilidade do número de telefone são uma das razões pelas quais deve evitar a segurança em dois passos baseada em SMS sempre que possível. Todos nós gostamos de pensar que os nossos números de telefone estão completamente sob o nosso controlo e apenas associados aos equipamentos que possuímos. Na realidade, isso não é verdade. Quando confia no seu número de telefone, está a confiar no serviço de apoio ao cliente do seu operador de telemóvel para proteger o seu número de telefone e impedir que os atacantes o roubem.
Em vez de receber códigos de segurança enviados por mensagem de texto, recomendamos a utilização de outros métodos de segurança de dois factores. Um bom exemplo disso é o Google Authenticator. Estas aplicações geram o código no próprio telemóvel. Assim um criminoso teria de ter o seu telemóvel – e desbloqueá-lo – para obter o código de segurança.