| Linha 1: | Linha 1: | ||
== Golpe SIM | == Golpe do SIM Swap == | ||
Uma técnica de golpe em que o criminoso ativa o número de telefone (MSISDN) da vítima em outro cartão SIM (IMSI) para acessar suas contas e dados pessoais, o conhecido '''SIM Swap''', é um problema grave, real e extremamente preocupante no cenário atual, ao passo que muitos serviços, como bancos, e-mails, redes sociais, estão vinculados ao número de celular, aliado à ampla adoção da autenticação via SMS. | Uma técnica de golpe em que o criminoso ativa o número de telefone (MSISDN) da vítima em outro cartão SIM (IMSI) para acessar suas contas e dados pessoais, o conhecido '''SIM Swap''', é um problema grave, real e extremamente preocupante no cenário atual, ao passo que muitos serviços, como bancos, e-mails, redes sociais, estão vinculados ao número de celular, aliado à ampla adoção da autenticação via SMS. | ||
Edição das 19h47min de 13 de agosto de 2025
Golpe do SIM Swap
Uma técnica de golpe em que o criminoso ativa o número de telefone (MSISDN) da vítima em outro cartão SIM (IMSI) para acessar suas contas e dados pessoais, o conhecido SIM Swap, é um problema grave, real e extremamente preocupante no cenário atual, ao passo que muitos serviços, como bancos, e-mails, redes sociais, estão vinculados ao número de celular, aliado à ampla adoção da autenticação via SMS.
No Brasil, essa problemática se torna ainda mais crítica ao se verificar que o país ocupa a sétima posição no ranking mundial de vazamentos de dados, de acordo com dados de 2024 divulgados pela empresa global de cibersegurança e privacidade digital Surfshark.
De fato, o SIM Swap ocorre, principalmente, por meio do golpe de engenharia social, em que o criminoso, de posse de dados pessoais coletados da pessoa-alvo, seja por maneiras como phishing ou vazamento, entra em contato com a operadora de serviço móvel do usuário, solicitando a portabilidade ou ativação do número da vítima em um novo SIM. Com base na persuasão ao atendente e/ou na cooptação de funcionários internos corruptos, o criminoso consegue obter sucesso em sua tentativa.
Assim, a operadora desativa o SIM antigo legítimo e ativa o novo SIM controlado pelo golpista, o qual solicita o reset ou recuperação de senhas em diversos serviços. Com isso, os códigos de verificação, enviados por SMS ou ligação de voz, chegam ao chip do criminoso, que os utiliza para acessar as contas da vítima, assumindo o controle delas e causando prejuízos significativos, que, muitas vezes, incluem perdas financeiras diretas.
Solução: Open Gateway — SIM SWAP API
Dada essa problemática exposta, como parte do projeto de código aberto, conhecido como Open Gateway, liderado pela Global System for Mobile Communications Association (GSMA), foi desenvolvida a API Sim Swap, uma interface programática criada para monitorar e detectar alterações no cartão SIM conectado a um telefone móvel.
Trata-se de uma API encarregada de identificar se um SIM card foi recentemente trocado, fornecendo informações para provedores de serviços e outras entidades que consomem suas capacidades, como a data da última troca de SIM (timestamp) ou indicar se uma troca ocorreu dentro de um período definido. Além disso, a API pode ser utilizada para proteger ações não automatizadas, como a confirmação de operações sensíveis por um especialista de call center.
Casos de Uso
Dentre seus casos de uso e benefícios, a API Sim Swap atende:
- Aprimoramento da two-factor authentication (2FA) para prevenção de fraudes: permite verificação mais aprimorada do usuário durante os processos de registro, de tal forma que, em casos de suspeita de SIM Swap, as aplicações que utilizam a API conseguem, de maneira proativa, identificar e prevenir potenciais atividades fraudulentas.
- Reforço dos procedimentos TAN nas operações bancárias: confere uma camada de verificação adicional por meio do SIM Swap API, evitando com que o Transaction Authentication Number (TAN) seja enviado diretamente ao usuário, em caso de trocas de SIM recentes, podendo, portanto, ser suspenso o envio de TANs via SMS ou ser exigido formas extras de verificação para garantir que a transação realizada é, de fato, autorizada pelo titular da conta.
- Aumento da segurança nas contas de usuário: fortalece o acesso legítimo dos usuários em suas contas via verificação SMS, ao observar atividades recentes de troca de SIM, promovendo, portanto, um crescimento na confiança e lealdade do cliente na segurança do serviço.
- Proteção contra sequestro de contas das redes sociais: a API permite com que as redes sociais identifiquem proativamente atividades suspeitas de trocas de SIM, as quais são vinculadas às contas dos usuários, fortalecendo a segurança geral da plataforma e evitando, significativamente, o roubo de identidade.
Operações da API
A API Sim Swap do Camara Project oferece duas operações principais.
POST retrieve-date
Retorna o timestamp da última troca SIM, caso a tenha, para um número de telefone determinado.
- Se não houve troca de SIM e o operador de rede permitir o monitoramento de SIM por tempo ilimitado, a API retorna a data de ativação do SIM (timestamp da primeira vez de conexão da rede pelo SIM);
- Se a data da última troca de SIM (ou a data de ativação, no caso de não houver troca de SIM) não puder ser obtida, dada políticas internas de privacidade do operador ou regulamentações locais, as quais impedem a manutenção da informação por mais tempo do que o permitido, será retornado um valor nulo (null);
- Opcionalmente, um parâmetro chamado monitoredPeriod pode ser fornecido, o qual indica o período monitorado em dias suportado pelo operador. Nesse caso, a resposta deve ser interpretada como "não houve eventos de troca de SIM durante o período monitorado". Esse parâmetro, por ser opcional, é recomendado que as implementações de SimSwap suportem seu uso.
POST check
Verifica se uma troca de SIM foi realizada durante um período determinado (especificado no atributo “MaxAge” durante o request) para um dado número de telefone.