Proponha uma correção, faça uma sugestão
Alerta máximo: “Perde a ligação do telemóvel e a conta bancária enche-se de débitos”
As autoridades alertam para uma onda de fraudes bancárias em toda a Espanha. A Guardia Civil avisa sobre este esquema com o telemóvel que pode deixar a conta do utilizador a zero.
Há um novo esquema para "apanhar" o acesso às apps bancárias, que ataca aqui na vizinha Espanha!
Como funciona o ataque?
Perder a ligação à Internet no telemóvel é algo comum e, por isso, muitas vezes não se dá importância. No entanto, a Guardia Civil alertou recentemente, através das redes sociais, que pode ser um sinal de tentativa de fraude.
Inicialmente, o utilizador perde a ligação do telemóvel e, quando dá por isso, a sua conta bancária já está cheia de débitos. Esta burla, cada vez mais comum, baseia-se num processo relativamente simples, mas eficaz.
Para se proteger, é essencial conhecer como funciona.
O esquema denunciado pelas autoridades espanholas
Como qualquer fraude, o objetivo é sempre o mesmo: roubar dinheiro. O que muda aqui é o método utilizado pelos criminosos para aceder à conta bancária da vítima. O primeiro sinal de que a burla foi bem-sucedida é a perda da ligação do telemóvel.
Como funciona? Os burlões conseguem enganar a operadora de telecomunicações do visado e obtêm um cartão SIM clonado.
Desta forma, a pessoa perde o controlo do seu número de telemóvel, ficando sem acesso a mensagens e chamadas. Isto significa que, se o banco lhe enviar um código de validação por SMS, este será recebido pelos criminosos e não pela pessoa.
Para chegarem a este ponto, os burlões utilizam diferentes estratégias para roubar a identidade da vítima, o que lhes permite enganar a operadora.
Algumas destas informações podem ser obtidas através de "vazamentos de dados", contra os quais há pouco a fazer. No entanto, em muitos casos, os criminosos utilizam técnicas como phishing (fingindo ser um banco, uma empresa, ou até um familiar) para levar a própria vítima a fornecer os seus dados.
Também podem recorrer a chamadas telefónicas fraudulentas ou mensagens falsas no WhatsApp.
Como evitar esta burla?
A melhor forma de te protegeres contra este esquema é ativar a autenticação em dois fatores para as suas contas bancárias. Isto significa que um simples código por SMS não será suficiente para validar operações bancárias.
Utilizar métodos como autenticação por impressão digital ou assinatura digital pode ser uma camada extra de segurança. Além disso, ferramentas como as chaves de acesso do Google podem reforçar a proteção das contas.
Por fim, é essencial partilhar o mínimo de informações pessoais online e nas redes sociais, pois quanto menos dados estiverem disponíveis, menores serão as hipóteses de seres alvo destes ataques.
Leia também:
Loading ...
Infelizmente o velhinho golpe do SIM SWAP ainda funciona em 2025 e Portugal não está melhor pois fiquei parvo como se consegue uma segunda via presencialmente numa loja sem ser o próprio…
Só se for onde vive pois eu já fui à loja pedir uma 2ªa via de um cartão e levava os cartões do proprietário (meu pai) e sabia todos os dados e passwords e nada.
Só com o proprietário presente.
Diz o post: A melhor forma de te protegeres contra este esquema é ativar a autenticação em dois fatores para as suas contas bancárias. Isto significa que um simples código por SMS não será suficiente para validar operações bancárias.
Diz a Guardia Civil:
“O que é SIM Swapping?
SIM Swapping é uma técnica de fraude na qual os criminosos conseguem duplicar o cartão SIM da vítima para controlar a sua linha telefónica. Isso permite que eles interceptem mensagens e chamadas, especialmente – os códigos de verificação de dois fatores – que os bancos enviam aos seus clientes para confirmar transações. Com acesso a esses códigos, os golpistas podem se passar pela vítima e realizar transações fraudulentas, esvaziando suas contas bancárias.”
Afinal em que ficamos? O envio pelo banco de um código para o telemóvel é ou não é uma autenticação de dois fatores? É, sendo o primeiro factor as credenciais de acesso à conta.
A questão aqui é que – o envio do código por SMS não é seguro em caso de SIM Swapping. Lá se vai a segurança da autenticação em dois fatores mais usada pelos bancos.
Depende. Não faltam boas ferramentas alternativas. Eu deixo-te algumas:
1. Códigos via chamada;
2. Aplicações de autenticação (TOTP);
3. Chaves de segurança físicas (U2F/FIDO2);
4. Autenticação biométrica;
5. Códigos de backup:
6. Notificações push;
7. Cartões inteligentes ou tokens físicos;
8. Autenticação baseada em e-mail.
Tudo depende do método que o serviço queira usar.
“Os serviços” usam muitos e variados métodos.
“O banco” de que gasto, para as operações via browser, usava: 1) as credenciais de acesso e 2) um código do cartão de coordendas. Passou a usar a autenticação em dois factores em que passou a pedir 1) as credencias de acesso e 3) um código que envia por SMS (só excecionalmente pede também 2) o código do cartão de coordenadas).
Não sei como é que é nos outros bancos, mas no que gasto não há cá “depende”. A autenticação em dois factores é por o código por SMS, não há outra. A questão é que a adotaram quando já era conhecido o SIM swapping.
No meu até tem mais. Além do user e pass, podes associar biometria. Mas tenho serviços bancários, por exemplo, que pode ser solicitado, em vez do SMS, uma ligação telefónica. Mas há outros, em Espanha, por exemplo, que têm formas mais simples, se “perderem o user e password”, o SMS dá acesso à conta com facilidade.
“A autenticação em dois factores é por o código por SMS, não há outra. ”
Então não há? Acabei de te mostrar uma série delas usadas no setor bancário.
Que banco é esse que aceita essas medidas todas que descreveste?
Todas? Há aplicações de serviços bancários com métodos diferentes, por exemplo, conheces o Revolut?
Sim, conheço. Mas é meio estranho um site tuga ter de argumentar com um banco da Lituânia cujo cartão funciona mal e porcamente…
Além disso, meteste uma lista de tantas formas de 2fa e quando perguntei que bancos as aceitam cortas para canto com outra pergunta…
Revolut, N26, TradeRepublic, Wise, Bunq, Monese, etc…
Todos te.permitem recuperar acesso por sms…
Onde usas as chaves FIDO2?
É que no Revolut, N26 e Wise podes usar mas consegues recuperar acesso à conta pelo nr. de telemóvel e passar por cima das mesmas…
Conclusão, ficaste entalado e passas a dizer disparates, é isso? Ai e tal um site português fala de um banco lituano… tens uma certa piada, mas percebe-se que foste apanhado… Poderia dar-te um exemplo de um banco espanhol a operar em Portugal, ou um francês, um alemão.. enfim… disparates.
Eu não disse que não usavam SMS, tens de ler bem, não vale a pena saltares linhas, lê com calma, tens tempo. Eu disse que vários bancos usam vários sistemas.
Sobre o FIDO2?
Então, vamos lá dar-te informação, para pelo menos teres conhecimento sobre o assunto.
Atualmente, apesar de não existirem muitos, são poucos até (que eu tenha conhecimento), existem algumas instituições que dotaram chaves de segurança FIDO2, para autenticação online, em substituição ao SMS ou aplicações móveis. Entre as instituições conhecidas por oferecerem suporte a este método estão:
– Boursorama Banque: Banco francês que permite aos clientes utilizarem chaves FIDO2 para aceder às suas contas online, proporcionando uma camada adicional de segurança. 
– ank of America: Nos Estados Unidos, este banco oferece a opção de utilizar chaves de segurança USB compatíveis com FIDO2 como método de autenticação para determinadas transações online.
O resto que dizes é apenas fumo… sem nada de relevante.
Aaa e ano passado, mais de 30 viagens para fora de fronteiras, usei sempre o cartão (físico e na app Carteira) e nunca fiquei mal 😉
Fiquei entalado?
És tu que desvias o assunto.
Larga lá o chatgpt e responde ao que te perguntei. Meti aqui 3 bancos que usam chaves fido2 e todos eles te permitem recuperar o acesso à conta por sms…
Porque desvias o assunto?
Primeiro dizes que há imensas formas de 2fa…
Depois peço-te exemplos e dou-te 3 que dão inúteis, um dos quais um que tinhas mencionado…
E depois vais ao chatgpt e metes 2 exemplos enquanto assumes que não sabes bem do que falas e estranhamente são mais 2 além dos 3 que eu já tinha indicado onde também podes recuperar o acesso à conta por sms invalidando assim qualquer outro 2fa ativo…
Se alguém aqui esta entalado não sou eu. É o gajo que tenta dar uma de superior mas sem saber do que fala. Quando quiseres ensinar alguém, só menos que uses diariamente pelo menos uma das contas que o chatgpt te indicou para não metes os pés pelas mãos…
Calma jovem. Lá estás de novo a andar à volta da mesa. Pediste “Onde usas as chaves FIDO2?”, disse-te dois. Agora queres 3 😀 não sabes o que estás a dizer.
ChatGPT? Olha, usei o Google, mas é bem pensado. Não me lembrei disso, mas fui lá e de facto é onde tu andas a tentar ler coisas inteligentes. Mas, curioso, o próprio ChatGPT entalou-te 😀 olha o que ele diz:
Embora muitos bancos ainda utilizem o SMS como método principal de autenticação de dois fatores (2FA), algumas instituições financeiras adotaram alternativas mais seguras.
Aqui estão três exemplos:
1. HSBC: Este banco utiliza uma “Chave de Segurança”, que pode ser um dispositivo físico fornecido pelo banco ou uma funcionalidade integrada na aplicação móvel. Este método substitui a necessidade de códigos enviados por SMS.
2. Banco PAN: No Brasil, o Banco PAN implementa a autenticação de dois fatores através do envio de códigos por SMS ou e-mail. Após inserir o CPF e a senha de 6 dígitos, o cliente recebe um código adicional para validar o acesso à conta digital.

3. Santander: O Santander oferece a opção de autenticação através de biometria facial ou digital, além do uso do ID Santander, uma funcionalidade que substitui o token físico e reforça a segurança nas transações realizadas pelo aplicativo. 
Pelo que percebi, só falhaste porque não conseguiste fazer a pergunta certa, não foi isso? Foi, pois.
Devias aprender a ler, ou a ler com calma.
Não te pedi 3 nada. Comentei que deste 2 exemplos, que tal como os 3 que eu já tinha dado não servem já que poder recuperar os acessos por sms e passar por cima do 2FA.
Hehehe vá, pelo menos traz alguma coisa de jeito, não consegues trazer informação útil? Levaste alguma e não consegues dar nadinha? Enfim… é tempo que poderias tornar útil, mas não consegues.
Ainda te vou dar mais alguma boa informação:
Para recuperares o acesso à tua conta Revolut sem utilizares SMS, podes seguir os seguintes passos:
1. Iniciar sessão na aplicação Revolut:
• Abre a aplicação e toca em “Iniciar sessão”.
2. Seleciona “Perdi o acesso ao meu número de telemóvel”:
• Esta opção permitirá iniciar o processo de recuperação sem o número antigo.
3. Seguir as instruções apresentadas:
• Poderá ser solicitado que introduzas o teu e-mail associado à conta.
• Ser-te-á pedido que tires uma selfie e carregues um documento de identificação para verificação.
Se a verificação for bem-sucedida, poderás atualizar o teu número de telemóvel e recuperar o acesso à tua conta. Caso encontres dificuldades durante o processo, é recomendável contactar o suporte da Revolut através do chat na app ou pelo e-mail.
Abraço.
O meu banco já deixou isso do cartão matriz há anos, precisamente por existirem formas bem mais seguras de autenticação.
Neste momento, além dos dados normais de login, tenho uma aplicação do próprio banco que para validar as transações e até a consulta de movimentos. A validação é feita através de um PIN em conjunto com os meus dados biométricos.
Via chamada em caso de SIM Swapping não será o melhor também, pelo menos a meu ver claro.
Claro, mas, por exemplo, usando a biometria, ou via email (a Apple e a Google, por exemplo, usam outro, que é via Push num dispositivo confiável, sem necessidade de passa pelo SIM).
Há vários sistemas. O Max é que só conhece um.
Não desconverses. Escreveste no post: “A melhor forma de te protegeres contra este esquema é ativar a autenticação em dois fatores para as suas contas bancárias” – como se o envio do código por SMS não fosse autenticação em dois factores.
O que eu escrevi foi que, no meu banco, nas operações via browser, essa é a única forma de autenticação em dois factores que utiliza.
Eu não escrevi nada que não seja o que está nas regras de boas práticas. E quem usa aplicações bancárias, que existem várias atualmente, não se fiquem só pelo SMS. Aliás, como referi, uso serviços que não usam uma SMS, usam outros métodos.
A mensagem é mesmo não facilitarem nem mesmo com o SMS. E, depois dos dados (ueser e pass) serem apanhados, fica a faltar o SMS ou outro método. Mas neste ataque referido o cartão SIM tem sido “clonado”… para acesso ao tal SMS.
As boas práticas dizem para verificar as fontes – e a fonte é a Guardia Civil, que o que diz transcrevi acima.
Diz que os códigos obtido através do SIM swapping são “os códigos de verificação de dois fatores que os bancos enviam aos seus clientes para confirmar transações”.
Não escreveram nada de parecido com o que acrescentaste num comentário: “Mas há outros [bancos], em Espanha, por exemplo, que têm formas mais simples, se “perderem o user e password”, o SMS dá acesso à conta com facilidade.” Não acredito que haja bancos que, sem as credenciais, dêem acesso à conta enviando um SMS. Isso já não era autenticação em dois fatores.
O comentário foi para desmentir o que disseste, que estavas a afirmar uma inverdade. Deixei exemplos para mostrar que estás errado. Só isso, nem teve a ver com o conjunto de informações do site. Tu é quer afirmaste uma inverdade.
Como se usa biometria num site web?
Num site web? Onde diz isso? Eu refiro-me, por exemplo, nas aplicações mobile que podem requerer a autenticação via sistema biométrico. Num site web, até podes ter certificação através de dispositivos confiáveis e aí até poderá ser usada tecnologia biométrica.
Por exemplo, a Apple envia uma mensagem push para dispositivos confiáveis. A Google também faz isso. 🙂 o que não faltam são sistemas de autenticação para o segundo fator sem ser SMS.
Mas isso não impede ninguém com os teus dados de acesso e com um clone do teu sim de te aceder à conta. Pelo menos para o comum dos utilizadores.
E quem usa autenticadores, chaves fisicas, etc, não vai dar os dados de acesso ao bandido.
Isto é um ataque que tem como alvo os mais desinformados e os mais desinteressados que acham que só acontece aos outros e usam passwords tipo “PassCGD85” para aceder ao banco….
Não diz que é num site web, mas é óbvio que o ladrão não vai aceder ao banco através do telemóvel que acabou de inutilizar com o sim swap…
“Mas isso não impede ninguém com os teus dados de acesso e com um clone do teu sim de te aceder à conta. Pelo menos para o comum dos utilizadores.”
Mas se o 2 fator for por email, como podem ter acesso à conta sem isso? Já te disse que podem usar outros sem usar o SMS. Há quem não use o SMS (teimoso, irra).
“E quem usa autenticadores, chaves fisicas, etc, não vai dar os dados de acesso ao bandido.”
Mas isso disse eu, que usar esses métodos de autenticação evita o problema do SMS 😀
“Isto é um ataque que tem como alvo os mais desinformados e os mais desinteressados que acham que só acontece aos outros e usam passwords tipo “PassCGD85” para aceder ao banco….”
Isso, cospe para o ar, costuma cair na testa de quem pensa como tu.
“Não diz que é num site web, mas é óbvio que o ladrão não vai aceder ao banco através do telemóvel que acabou de inutilizar com o sim swap…”
Heheh ai não? Era o primeiro, queres ver. Estás a fazer do ladrão mais inteligente do que ele de facto é 😉
Pois, só falta convencer os bancos em Portugal de que os SMS não são seguros e usar um (ou vários) desses métodos alternativos.
Todos os bancos tem biometrica….sem faceID nao fazem nada
Isso é nas apps dos bancos. E quando usas o browser como é no teu caso?
“A melhor forma de te protegeres contra este esquema é ativar a autenticação em dois fatores para as suas contas bancárias. Isto significa que um simples código por SMS não será suficiente para validar operações bancárias.”
Hum… What? SMS é precisamente um dos métodos de autenticação em dois fatores.
Constatar o operador.Solicitar que seja colocada uma palavra chave na conta para qualquer informação ou operação.
A Vodafone tem uma proteção contra este sistema, codigos de bancos, CMD (gov.pt) entre outros, só ficam a funcionar 48h após a troca de cartão, assim os proprietários tem tempo para poder resolver o problema sem males maiores
A solução podia passar por aí!
Obrigatório para todas as operadoras!
?? A app do meu banco usa password e não permite transferência sendo um erro da app mas neste funciona a meu favor. Por outras palavras não há autenticação de 2 fatores com SMS.
Compra um iphone…..todas as apps de bancos no ios tem faceID e com isso ativado ninguem faz nada
Então não consegues ir ao teu banco numo browser de um pc?
Mas os bancos Portugueses só usam sms….
Vem aí o diabo, mas afinal era só phishing.
CGD e MillenniumBCP não permitem autenticação verdadeiramente segura, não há cá chave de segurança FIDO/ FIDO2/ WebAuthn, nem sequer o código único em aplicação dedicada. Se conseguirem de alguma forma obter o nome de utilizador e/ ou NIF e o código, talvez nem precisem do SMS se telefonarem para lá.
É mais seguro hoje em dia o acesso à conta da Google, que o acesso a uma qualquer conta bancária, pelo menos na parte dos privados… talvez para empresas um ou outro banco utilize algo mais “seguro” do género: “certificado de autenticação” integrado no browser.
Exatamente! Como é que podemos utilizar fatores seguros se são os próprios bancos que continuam a insistir no SMS?
Provavelmente porque o SMS funciona sempre e os outros métodos falham com frequência ou há utilizadores não os sabem ativar.
Pois é, mas também é “relativamente” fácil de contornar. Os bancos ao menos podiam apresentar outros métodos à escolha do cliente.
Os bancos preocupar-se-ão com isso no dia que o Estado os obrigar a isso, ou quando aparecerem bancos a levar a segurança a sério e toda a gente mudar para eles por causa disso (nunca vai acontecer).
Eu acho que deviam ser obrigados a pagar tudo quando os meios de segurança que disponibilizam são fracos!
É isso e aqueles sites que impõem um limite no tamanho das passwords…
A ViaCTT impõe um limite de 12 caracteres para as passwords. Porquê??? Não faz sentido nenhum…
Os bancos deixam os utilizadores fazer login com um pin de 6 números… Porquê???
Eu acho que voltarem a dar uso aos pelourinhos espalhados por este país não seria má ideia!
E pendurar lá umas malas de viagem para lembrar.
E porque não…já agora os empregadores do BE também
O que é que uma uma decisão errada de um empregador tem a ver com o roubo?
São ambos erros e ambos denotam falhas de personalidade.
Se isso acontecer a operadora e o banco são responsáveis e tem de restituir todo o dinheiro, simples.
Se isso acontecesse não faltava quem se associasse aos bandidos, dava-lhes todos os dados – e dividia o dinheiro.
No final é meter a operadora em tribunal por permitir que alguém tenha pedido uma 2a via do cartão SIM, sem ter validado todos os dados e sem ser o próprio a fazê-lo presencialmente.
Pois claro, passa por ai!!! nao havendo falha da operadora em que pagamos para usar, esse esquema nunca teria sucesso.
Diz a Vodafone:
1) “Pode pedir uma 2ª via através da App My Vodafone. No menu lateral clique em “Trocar Cartão SIM” e será redirecionado para a loja online onde deverá preencher o formulário (Nome, NIF, Morada, Email) para pedir uma 2ª via do seu cartão. Caso solicite o envio de uma 2ª via do seu cartão, deverá aguardar a receção de uma carta na sua morada de faturação, junto com o seu novo cartão, e seguir as instruções.”
2) “Em alternativa poderá se dirigir a uma loja Vodafone e obter o mesmo na hora”.
O que está em 1) deve ser igual para todos os operadores. A informação que é pedida já a vítima deu aos larápios através de phishing. Com esses dados, podem mudar a morada e ficar à espera da 2ª via do SIM.
Para isto funcionar são precisos dois phishings – sacar os dados na operadora e sacar os dados no banco. Quem é trouxa para cair num também cai no outro.
Caríssimos, pergunto: se o nosso telemóvel está ligado ele envia constantemente sinais às torres celulares mais próximas, mantendo o registo na rede, certo? Portanto não seria possível as operadoras implementarem o seguinte: A impossibilidade de atribuir uma segunda via, seja a quem for e também, independentemente, ser um cartão SIM físico ou um eSim, pois os sinais do nosso cartão e número continuam a ser detectados. Ou seja, só seria atribuído uma segunda via, desde que o nosso número não estivesse a ser detectado em lado nenhum nem mesmo por roaming. Porque ainda não implementaram um sistema de segurança destes?
Ou usar Bitcoin/Solana.
Utilizar um esim traz algumas vantagens de segurança para este tipo de fraudes?