wiki

SIM Swap

Revisão de 19h22min de 13 de agosto de 2025 por Lucas.lacerda (discussão | contribs) (Criou página com '# Problemática Uma técnica de golpe em que o criminoso ativa o número de telefone (MSISDN) da vítima em outro cartão SIM (IMSI) para acessar suas contas e dados pessoais...')
(dif) ← Edição anterior | Revisão atual (dif) | Versão posterior → (dif)
  1. Problemática

Uma técnica de golpe em que o criminoso ativa o número de telefone (MSISDN) da vítima em outro cartão SIM (IMSI) para acessar suas contas e dados pessoais, o conhecido **SIM Swap**, é um problema grave, real e extremamente preocupante no cenário atual, ao passo que muitos serviços, como bancos, e-mails e redes sociais, estão vinculados ao número de celular, aliado à ampla adoção da autenticação via SMS.

No Brasil, essa problemática se torna ainda mais crítica ao se verificar que o país ocupa a sétima posição no ranking mundial de vazamentos de dados, de acordo com dados de 2024 divulgados pela empresa global de cibersegurança e privacidade digital Surfshark.

De fato, o SIM Swap ocorre, principalmente, por meio do golpe de engenharia social, em que o criminoso, de posse de dados pessoais coletados da pessoa-alvo, seja por maneiras como phishing ou vazamento, entra em contato com a operadora de serviço móvel do usuário, solicitando a portabilidade ou ativação do número da vítima em um novo SIM. Com base na persuasão ao atendente e/ou na cooptação de funcionários internos corruptos, o criminoso consegue obter sucesso em sua tentativa.

Assim, a operadora desativa o SIM antigo legítimo e ativa o novo SIM controlado pelo golpista, o qual solicita o reset ou recuperação de senhas em diversos serviços. Com isso, os códigos de verificação, enviados por SMS ou ligação de voz, chegam ao chip do criminoso, que os utiliza para acessar as contas da vítima, assumindo o controle delas e causando prejuízos significativos, que, muitas vezes, incluem perdas financeiras diretas.

---

  1. Solução: **Open Gateway — SIM SWAP API**

Dada essa problemática exposta, como parte do projeto de código aberto, conhecido como Open Gateway, liderado pela Global System for Mobile Communications Association (GSMA), foi desenvolvida a **API Sim Swap **, uma interface programática criada para monitorar e detectar alterações no cartão SIM conectado a um telefone móvel.

Trata-se de uma API encarregada de identificar se um SIM card foi recentemente trocado, fornecendo informações para provedores de serviços e outras entidades que consomem suas capacidades, como:

- Data da última troca de SIM (*timestamp*); - Indicar se uma troca ocorreu dentro de um período definido.

Além disso, a API pode ser utilizada para proteger ações não automatizadas, como a confirmação de operações sensíveis por um especialista de call center.

---

  1. Casos de Uso

Dentre seus casos de uso e benefícios, a API Sim Swap atende:

1. **Aprimoramento da Two-Factor Authentication (2FA) para prevenção de fraudes **: 

  Permite verificação mais aprimorada do usuário durante os processos de registro.  
  Em casos de suspeita de SIM Swap, as aplicações que utilizam a API conseguem, de maneira proativa, identificar e prevenir potenciais atividades fraudulentas.

  1.1 **Reforço dos procedimentos TAN nas operações bancárias**:  
  Confere uma camada de verificação adicional por meio do SIM Swap API, evitando que o Transaction Authentication Number (TAN) seja enviado diretamente ao usuário em caso de trocas de SIM recentes.  
  Nesse cenário, pode ser suspenso o envio de TANs via SMS ou ser exigido formas extras de verificação para garantir que a transação realizada é, de fato, autorizada pelo titular da conta.

3. **Aumento da segurança nas contas de usuário**: 

  Fortalece o acesso legítimo dos usuários em suas contas via verificação SMS, ao observar atividades recentes de troca de SIM, promovendo confiança e lealdade do cliente na segurança do serviço.

  3.1 **Proteção contra sequestro de contas em redes sociais**:  
  A API permite que as redes sociais identifiquem proativamente atividades suspeitas de trocas de SIM vinculadas às contas dos usuários, fortalecendo a segurança geral da plataforma e evitando roubo de identidade.

---

  1. Operações da API

A **API Sim Swap** do **Camara Project** oferece duas operações principais:

    1. 1. **POST retrieve-date**

Retorna o timestamp da última troca SIM, caso a tenha, para um número de telefone determinado.

- Se não houve troca de SIM e o operador de rede permitir o monitoramento de SIM por tempo ilimitado, a API retorna a data de ativação do SIM (*timestamp* da primeira vez de conexão da rede pelo SIM); - Se a data da última troca de SIM (ou a data de ativação, no caso de não houver troca) não puder ser obtida devido a políticas internas de privacidade do operador ou regulamentações locais que impeçam a manutenção da informação por mais tempo do que o permitido, será retornado **null**; - Opcionalmente, um parâmetro chamado **monitoredPeriod** pode ser fornecido, indicando o **período monitorado em dias** suportado pelo operador. 

 Nesse caso, a resposta deve ser interpretada como "não houve eventos de troca de SIM durante o período monitorado".  
 Esse parâmetro, por ser opcional, é **recomendado** que as implementações de **SimSwap** suportem seu uso.
    1. 2. **POST check**

Verifica se **uma troca de SIM foi realizada** durante um período determinado (**MaxAge**) para um dado número de telefone.

Disponível em “http://3.143.69.156/wiki/index.php?title=SIM_Swap&oldid=94328