Proponha uma correção, faça uma sugestão
Criminoso pediu uma troca de SIM em nome de outra pessoa e roubou milhares em cripto
Com a introdução dos dois fatores de segurança, os números de telefone e as SMS, passaram a ser o último bastião de segurança dos mais variados serviços, incluindo os bancários e de criptomoedas. Imagine que alguém se fazia passar por si, conseguia uma segunda via do seu cartão SIM na operadora e passava a controlar a sua vida! No caso que mostramos hoje, a vítima ficou sem 60 mil dólares em criptomoedas.
Como é possível obter um cartão SIM sem ser o próprio cliente a pedir?
Apesar de em Portugal este golpe não ter expressão, lendo e acompanhando as notícias internacionais, percebemos que o golpe da troca de SIM tem aumentado. O resultado é facilmente calculável: as contas financeiras "secam" num piscar de olhos.
Sepehr Tahmasebpour era cliente da empresa canadiana de comunicações móveis, a Freedom Mobile, e estava prestes a saber que fraudes como as trocas de SIM podem atravessar a fronteira muito facilmente. O homem afirma que a Freedom Mobile entregou um novo cartão SIM a uma pessoa que se fazia passar pelo seu pai, a pessoa responsável pelo pagamento da sua fatura de comunicações todos os meses.
A empresa de comunicações entregou o cartão SIM a um participante, num golpe que começa a ser usual nalguns países.
Toda esta história vem agora a público, porque foi parar a tribunal. Temos de recuar a janeiro de 2021, quando um criminoso conseguiu uma segunda via do cartão de telemóvel do jovem canadiano e, com isso, começou a solicitar nalguns serviços a recuperação de palavras-passe.
Começou por solicitar a alteração dos dados do e-mail de Tahmasebpour. Depois, bloqueou o aceso do homem às suas contas e conseguiu roubar 60.000 dólares em bitcoins da sua carteira de criptografia.
Em 2023, a história foi parar a tribunal, pois Tahmasebpour queria responsabilizar a empresa de comunicação. Segundo o seu testemunho em tribunal:
Isso foi causado pelas ações e inações grosseiramente negligentes da Freedom.
Este argumento parece fazer sentido, uma vez que, sem o verdadeiro pedido do cliente, a empresa emitiu o cartão SIM.
Tribunal não permite que empresa de comunicação seja responsabilizada?
Lendo um pouco sobre a forma de atuar destes criminosos nalguns países, podemos depreender que existem duas formas de distribuir cartões SIM falsos.
A primeira, o ladrão paga a alguém que trabalha para a empresa de comunicações móveis para entregar novos cartões SIM a uma pessoa envolvida no esquema. Há testemunhos a referir que funcionários da T-Mobile receberam mensagens de texto não solicitadas que lhes ofereciam 300 dólares por cada troca de SIM que ajudassem a passar pelo sistema da operadora.
Isto deveria deixar a empresa e os seus clientes alarmados!
A segunda forma é alguém envolvido no esquema criminoso fingir ser o proprietário da conta e solicitar um novo cartão SIM a um funcionário da empresa de comunicações. Um funcionário aborrecido ou preguiçoso pode não se dar ao trabalho de solicitar um documento de identificação para verificar a identidade dessa pessoa.
Independentemente do método utilizado por um criminoso para obter indevidamente um cartão SIM que é posteriormente utilizado para roubar ativos financeiros, a empresa de comunicações que emite o cartão SIM parece ter alguma responsabilidade.
No seu processo judicial, Tahmasebpour e o pai argumentaram que a Freedom Mobile deveria ser responsabilizada por mais de 63.000 dólares para compensar o valor da bitcoin roubada, honorários legais e danos punitivos. A queixa salientava que a cobertura noticiosa anterior e os avisos da polícia deveriam ter tornado a Freedom Mobile mais cautelosa e mais atenta às trocas de SIM.
Apesar de a Freedom estar munida deste conhecimento, não tomou as medidas razoáveis e necessárias para evitar a ocorrência de um tipo de ataque semelhante.
Lê-se na queixa de Tahmasebpour.
De acordo com a CBC News, a Freedom Mobile conseguiu que um tribunal da Colúmbia Britânica suspendesse o processo, afirmando que a vítima tinha de resolver primeiro o assunto através do processo de arbitragem previsto nos termos de serviço do operador.
A Freedom solicitou a suspensão do caso em Setembro, argumentando que antes de intentar uma acção judicial, Tahmasebpour e o seu pai Alireza devem primeiro tentar resolver a questão através de um processo de arbitragem interno descrito nos seus termos de serviço.
Tanto o pai como o filho alegaram nunca terem visto, tomado conhecimento ou concordado com o documento.
Mesmo assim, o tribunal suspendeu o processo, impedindo os queixosos de serem reembolsados por quaisquer fundos que tenham perdido devido à negligência da Freedom Mobile.
Em Portugal e pela nossa experiência, as operadoras são rígidas nas regras. Quer ao nível pessoal, quer empresarial, os documentos são solicitados, assim como outras formas de confirmar a veracidade do pedido de novo cartão SIM. Mas... nunca devem facilitar!
Loading ...
por cá também é possível dar a volta, seja como for quem é que no seu perfeito juízo usa SMS como 2FA ?
Acho que não é assim tão fácil alguém pedir uma segunda via de um cartão SIM não sendo o titular.
Tens razão, não é fácil pedir uma segunda via não sendo titular, o que é fácil é te fazeres passar pelo titular, alterares a morada e fazeres chegar uma segunda via na nova morada
Os bancos usam, e não é possível não usar em muitos casos.
Por isso nunca opto por autenticação de SMS removo sempre essa opção.
É assustador com que facilidade se faz este ataque de SIM swapping, e em Portugal é uma brincadeira então.
O ano passado fui a uma loja com um folha impressa do site do operador assinada e com cópia de CC e lá troquei o SIM de um familiar que me pediu para 4G pois tinha cartão antigo, fiquei parvo como foi tão simples nem olharam para a assinatura nem para a cópia do CC sai de lá com um cartão que em 2 horas já estava a funcionar.
Usem Yubico.
Estive a ver os preços; são dispositivos caros…
O problema nem é o preço. O problema é poucos sites implementarem este tipo de segurança. Então em Portugal é praticamente nula.
é incrível como entidades oficiais assumem a verificação SMS como algo seguro e sequer a sugiram.
O pior são aquelas que dão tanta importância que passa até a ser possível fazer reset das outras seguranças com base apenas em SMS
Deve usar-se Google Authenticator, ou melhor, Microsoft Authenticator. Infelizmente principalmente nos bancos, ainda são poucos os que usam este processo, preferindo o SMS vulgar, vulnerável como se vê.
E agora com bancos a aceitar chave móvel digital, os bandidos começaram a tentar fazer phishing disso.
O Microsoft Autenticator é fixe, excepto se perdes o tlf ou os dados nele contidos e não há outro 2FA como método alternativo (SMS por exemplo), nunca mais tens acesso às tuas próprias contas, portanto, muito cuidado
Boa tarde.
Têm conhecimento de alguém a quem tenha acontecido semelhante em Portugal?! Se sim, conseguiram resolver/recuperar o dinheiro perdido?!
É este aqui Sr Policia
O copicat português
Há muitos anos atrás usava o Google Authentic ator quando precisei de mudar de telemóvel finalmente percebi como era difícil passar as configurações do Google Authenticator para o novo telemóvel com as carradas de site de crypto e outras aplicações que estavam protegidos por essa app, depois percebi se perdesse o telemóvel ou avaria-se o telemóvel era uma catástrofe, depois de analisar alternativas ao Google Authenticator optei por usar o Authy que é similar ao do Google mas tem duas grandes vantagens, pode fazer backups das chaves para a nuvem em modo encriptado e posso instalar o Authy no meu portátil sincronizado com o do telemóvel, é claro que o meu portátil está 100% encriptado e nem sequer arranca o Windows sem primeiro validar a password de encriptcao que está protegida pelo chip TPM Trusted Platform Module
Exatamente em 2021, o meu número deixou de funcionar e recebi a típica mensagem de quando se altera para a segunda via de cartão.
Eram cerca das 22 horas e fiquei alarmada quando usei o telefone fixo para telefonar e o meu número tocava nas mãos de outra pessoa. No dia seguinte fui a uma loja da operadora onde me devolveram o meu número e inativaram o que nunca deveria ter sido ativado …. E espantem-se! Ninguém me soube explicar como é que permitiram que aquilo acontecesse! Colocaram um aviso e ordem de que uma segunda via do meu número só podia ser pedida por mim e em loja. Até hoje, nunca mais me aconteceu. Valeu para o susto.