Há muito que o uso de sistemas de autenticação via SMS é desaconselhado, e um dos motivos disso são os ataques SIM Swap. Neste tipo de ataques, os atacantes transferem o número da vítima para um novo cartão SIM ou um novo operador de telecomunicações, utilizando engenharia social para enganar os assistentes (com histórias como "estou fora do país e fui roubado, e preciso reaver o meu número de telefone imediatamente"), ou com cumplicidade de funcionários nos próprios operadores. Depois, passam a ter total acesso a todos os serviços que assumem que só o cliente legítimo tem acesso ao seu número de telefone, podendo fazer coisas como recuperação de contas, validar transferências bancárias, etc.
Embora por cá este tipo de ataques ainda não seja muito frequente, nos EUA já atingem uma dimensão preocupante, motivo pelo qual a FCC (Federal Communications Commission) decidiu intervir com novo conjunto de regras anti SIM Swap para os operadores. Os operadores ficam obrigados a implementar procedimentos que assegurem métodos de autenticação seguros antes de efectuarem a transferência do número de um cliente para um novo cartão SIM ou novo operador. Os operadores também ficam obrigados a notificar os clientes sempre que houver um desses pedidos referente ao seu número de telefone.
Nos EUA, entre 2018 e 2020 foram registadas 320 queixas referentes a ataques SIM Swap que resultaram na perda de $12M; em 2021 as queixas aumentaram para 1611 com perdas de $68M; e em 2022 atingiram as 2026 queixas com perda de $72M. Por cá, seria conveniente os operadores tomarem medidas idênticas de forma proactiva, antes de se chegar a estes números.
temos este problema cá em Portugal? Nunca ouvi falar, e as operadoras antes de darem um cartão, ou migrar para um novo, pedem sempre todos os dados ao cliente, como forma de autenticar.
ResponderEliminar