Proponha uma correção, faça uma sugestão
PSP Alerta: Sabe o que é o SIM Swapping e o que não deve fazer
O mundo está repleto de esquemas "manhosos"! Com o aparecimento da internet e dos dispositivos moveis, os burlões têm vindo a tirar proveito da ingenuidade dos utilizadores.
Já ouviu falar no conceito SIM Swap ou SIM Swapping? Saiba o que é e o que não deve fazer.
SIM Swapping - Clonagem do cartão SIM
Foi na rede social que a Polícia de Segurança Pública alertou hoje para o SIM Swapping. De acordo com as informações, o SIM Swapping acontece quando alguém consegue clonar um cartão SIM e aceder às informações do utilizador.
Um dos métodos para clonagem se realizar é através de Engenharia Social. Nesse sentido é necessário que o cibercriminoso conheça os dados pessoais da vítima como o nome completo, número de telemóvel, documento de identificação ou outros dados pessoais. Desta forma pode tentar passar-se por outra pessoa e solicitar numa operadora a transferência de informações de um cartão SIM para outro novo.
Outra das formas é a clonagem "manual" do cartão. Neste caso é mais complicado porque o cibercriminoso tem de ter acesso físico ao cartão.
O cartão SIM é a porta de entrada para tudo o que armazenamos nos nossos smartphones. O SIM Swapping é um tipo de ataque que permite a duplicação do cartão SIM e pode incluir a fraude, roubo de dados, usurpação de identidade, etc.
No caso da clonagem "manual" do cartão, toda a informação mantida no cartão é copiada para um novo. Nestes casos, o atacante tem ainda a possibilidade de enviar malware para os contactos. No entanto, são já raras as situações em que os utilizadores guardam os contactos no cartão SIM.
A "boa notícia" deste esquema (no caso da clonagem "manual") é que cada cartão tem um identificador, e não podem existir dois cartões ativos com a mesma informação na rede.
Esteja atento e não partilhe o número de telefone ou outras informações pessoais em fóruns públicos ou redes sociais.
Este artigo tem mais de um ano
Loading ...
Aconteceu há dois anos à minha mulher. Queixas feitas junto da PSP e Vodafone. Esta última dizia ser impossível haver dois cartões iguais. Pura ignorância.
Felizmente, após horas ao telefone e presencialmente, cancelaram o número, não sem antes as pegas (sim, clonaram para uma casa de meninas) gastarem uma pequena fortuna, que não foi paga, obviamente.
Então significa que qualquer entidade que possua esses dados, pode de forma simples, praticar esse crime.
Fica o alerta para que os cidadãos tenham cuidado com as informações que colocam/disponibilizam por exemplo nos currículos, nunca se sabe o que empresas duvidosas ou de trabalho temporário podem fazer com esses dados.
O que me vem à ideia neste momento, é que as próprias operadoras/funcionários/vendedores, são os potenciais veículos donde pode partir toda a “marosca”. Têem os nossos dados pessoais, inclusivé cópias dos nossos cartões de cidadão (frente e verso), (só recentemente temos uma lei a que nos podemos tentar “agarrar” para não facultar esta dado), cópias de comprovativos das nossas moradas, e finalmente é claro, o nr. de telemóvel). Poderão haver outras fontes, mas esta é certamente a mais duvidosa, pelo menos para mim!!
Tenho-te a dizer que já aconteceu várias vezes. Quem cedeu as segundas vias está com queixas crime.
a lei da cópia dos cartões de identificação é de 1900 e carqueja, apenas os media resolveram dar destaque aqui à uns tempos por uma ministra ter falado no assunto, e com o buzz do rgpd que não mudou nada nesse respeito se passo a informar mais.
O problema é ainda maior, basta eu estar atento num almoço na mesa do lado para saber como a pessoa se chama e facilmente no final do almoço sabes o NIF.
Basta isso para fazeres o que quiseres em diversos serviços, incluindo, água, luz, gás, telecomunicações, etc.
Consegues complementar a restante informação ligando para os serviços e cruzando informação, e se um operador não dá é só desligar e fazer novo telefonema.
Go ahead stalkers..
Ou seja, não há grande forma de proteção certo?
Basta que tenham os dados da vítima?
Número, CC e Nome completo?
Está bonito está…
Realmente, forma de proteção parece ser inexistente, portanto o título quando diz “o que não deve fazer” não se aplica porque não podemos fazer mesmo nada
o que eu acho estranho é .. se eu quiser ter 2 cartoes com o mesmo numero tenho que pagar uma mensalidade, e para que um funcione o outro tem que estar desligado… por isso pergunto como é possível isto… ? é que ha coisas aqui que nao fazem sentido..
Isso que refere não é clonagem de cartão mas sim os chamados “cartões SIM” gémeos. Os cartões SIM têm um único identificador (tipo o nosso CC) e que permite ter acesso ou não à rede. Na realidade e nessa situação de 2 cartões com o mesmo número, esses mesmos cartões são diferentes porque cada um tem o seu único ID. Ora, quando tenta usar a rede móvel, os sistemas vão verificar se é valido ou não.
no caso que falam neste tema, é pura clonagem de SIM (fotocopia) em que ambos os SIM ficam com o mesmo identificador. Aqui a rede verifica que esse identificador está operacional, então não permite que o outro SIM com o mesmo identificador use a rede.
Os cartões gémeos podem ser usados ao mesmo tempo na rede, possuem ID diferentes, apenas partilham o mesmo numero telemóvel.
Só um pode receber chamadas, mas os 2 podem estar a fazer chamadas ao mesmo tempo.
Tenho um gémeo que está no tablet a usar dados do meu plafon.
Na caverna nada costuma fazer sentido.
O que isto é basicamente obter os dados para pedir uma 2a via do cartão junto da operadora eu já o fiz na altura da mudança dos micro para os nano pedi para que fosse alterado o sim para um cartão pré existente (vinha com o telefone) mas com um número diferente do meu para evitar ir a loja dei os meus dados o id do cartão para o qual queria mudar o meu número e 1 minuto depois estava a funcionar
Isto é problemático de proteger as pessoas do furto, porque o número é da pessoa em teoria, mas antes era dos operadores e são estes que na prática mandam como o provam os repetidos casos de transferências ilegais de números.
Não vejo outra forma que não fosse ser uma entidade pública ou privada (isso não me interessa) que atribuísse centralmente os números, com códigos complexos associados para entrar num portal central e então efectuar tais alterações da localização do número para outro cartão/ dispositivo.
Nem seria necessário registos, compravam o cartão em qualquer local (hipermercado, mercearia, etc.) e já vinha com tal cartão de segurança, se perdesse ou terceiros tivessem acesso azar o da pessoa, mas caso contrário pelo menos acabava-se esta coisa de com alguns dados públicos ou fáceis de conseguir em muitos casos conseguir furtar o número.
Bastava algo tipo, utilizador: 6WVJ4-H2XJ6-E4GE5-7XJYN-SQJ5C-3GGVU-SNHYS-3D7LG senha: Z5DU3-LL5X5-CENNW-V4XKJ-GVXZU-ND2SJ-LTFVR-KHLUG código de transferência: 3E69Y-XGNKJ-SMR55-SJMYR-D5CJF-2CMFL-HVK3M-TYVE7 boa sorte para adivinharem os três.
Realço que há aqui um perigo ainda maior nesta fraude que vai para além do roubo de dados do cartão SIM ou de custear a utilização do usurpador, que é o caso de quem utiliza o SMS como “autenticação forte” de 2 fatores (ou SMS Token) para acesso a sistemas/plataformas, lojas online ou até mesmo para gestão conta bancária.
Pois, bem visto.
Já se sabia desta nova forma de “hijacking” á muito tempo. No entanto uns “iluminados” da CE, resolveram criar uma obrigatoriedade de confirmação em dois passos, baseado nos SMS, como sendo uma forma mais segura. Curiosamente, cada vez mais se fala nesta “nova tendência” do “Sim Swapping”!!! Não será por mero acaso, está visto. Alguém já está de olho nesta nova forma, mais fácil ainda, de se apoderar de credenciais bancárias!! Não faz sentido, e ninguém faz nada para acabar com esta prática insegura!!
Gestão bancária é quase impossível , é preciso muito mais , até podes ter acesso ao CC , nr tlf , por si só não dá para nada .
Com SIM consegues acesso ao email, com acesso ao email consegues acesso a tudo, tudo o que tiver 2FA com SMS fica comprometido.
Só se por exemplo usarem apps de 2FA é que se safam de não ficarem sem nada.
Verdade, eu pessoalmente para mudar o número de telemóvel num banco foi um problema pois não tinha o antigo número para poder receber o pedido de autorização da mudança de número e estava lá em pessoa com todos os meus documentos…
E para entrar na conta precisa de outros dados antes de receber o código de segurança via SMS.
https://pplware.sapo.pt/informacao/investidor-24-milhoes-dolares-bitcoin-cartao-sim/
Consegue barrar o SIM SWAPPING (99% dos casos), desativando a Caixa Postal na sua Operadora, coisa que deveria estar desativada, e so ser ativada se o cliente pedir.
https://www.youtube.com/watch?v=MTB6JKL-UFw
Isto não é o Brasil.
Com base nesse tipo de resposta, que se percebe o quao facil disto de acontacer hoje…
https://pplware.sapo.pt/informacao/investidor-24-milhoes-dolares-bitcoin-cartao-sim/
Alguma confusão nos comentários entre sim-swapping, segundas vias cartão e cartão gémeo que a MEO disponibiliza.
Por não ser conhecedor, não vou definir cada situação.
Pelo que percebi na noticia, o sim-swapping não replica o nº telemóvel, apenas o ID do SIM e as operações que se faz na rede com esse ID, como seja a autenticação em serviços e pagamentos. é isso ?
Como já ninguém usa o SIM para guardar contactos e SMS, quem replica não tem essa informação.
Nem sei o que actualmente é guardado num SIM, alem das credenciais que possa haver entre o equipamento e a operadora.
Obrigado,
E adicionalmente, se formos alvo de sim-swapping, o nosso cartão deixa de se registar na rede do operador porque já existe um SIM com o mesmo ID ativo na rede, por isso sabemos logo que fomos alvo de um sim-swapping. É isso ?
ja me aconteceu a mesma coisa
Há 2 coisas coisas que a malta tem (ou deveria) de por na cabeça: A segurança é incómoda? É! A privacidade é desconfortável? Sim! Dito isto, os bancos, não estão a fazer o que deviam, ou seja, se quisessem realmente incrementar a segurança, para cada transferência ou pagamento deviriam ser pedidos o usual login e password + coordenada + sms!!! Ou no minimo dar a possibilidade au utilizador de escolher uma segurança de 2 ou 3 factores. Dito isto, uma senha pode estar na «cabeça do utilizador», a outra exige um cartão fisico, e a outra um telemóvel… «dificilmente» um atacante remote passa por cima deste 3 elementes num cenário em que o utilizador não é um «info-excluido». Agora tirem as vossa conclusões…
Não precisas de nada disso, é só o 2FA ser via app e não via SMS.
Exemplo, Microsoft Authenticator, tens dezenas de outros fabricantes a fazer o mesmo.
Os bancos deviam recorrer a serviços de 2FA ou implementar o seu proprio e esquecer a SMS.
“Um dos métodos para clonagem se realizar é através de Engenharia Social. Nesse sentido é necessário que o cibercriminoso conheça os dados pessoais da vítima como o nome completo, número de telemóvel, documento de identificação ou outros dados pessoais. Desta forma pode tentar passar-se por outra pessoa e solicitar numa operadora a transferência de informações de um cartão SIM para outro novo.”
E como é que uma OPERADORA ACEITA fazer uma coisa destas? Evidentemente não é só ter ACESSO aos dados pessoais… é ter uma CÓPIA FALSA do CC ou BI…
Por outro lado, e mesmo que isso aconteça, o cartão original não fica SEM EFEITO?