Estás em casa, com a antena cheia de barras como sempre, e o telemóvel fica de repente sem rede. Reinicias, tiras e pões o cartão, nada. Pensas em chatice da operadora e segues a vida. Só que, naquele momento, os teus SMS já estão a chegar a outro cartão SIM -- e com eles os códigos que protegem a tua conta bancária.
O que é um SIM swap
SIM swap significa, à letra, troca de cartão SIM. O burlão convence a tua operadora a transferir o teu número para um cartão SIM que ele controla, fazendo-se passar por ti. Consegue-o com dados teus que recolheu antes -- nome, número de contribuinte, morada, datas -- muitas vezes obtidos em fugas de dados ou em burlas anteriores por telefone. No instante em que a portabilidade do número para o novo cartão se conclui, o teu telemóvel perde a rede e o dele passa a ser, para todos os efeitos, o teu número.
A partir daí, tudo o que dependa do teu número está exposto. As chamadas e os SMS passam a ir para o burlão. E é aqui que entra o verdadeiro alvo: os códigos de confirmação por SMS que o banco usa para validar logins e transferências. Com o número na mão, o atacante pede esses códigos, recebe-os e autoriza operações como se fosses tu.
Porque é que isto te esvazia a conta
Muita gente protege o homebanking com um segundo fator que é, precisamente, um código enviado por SMS. Esse mecanismo parte de um pressuposto: só tu tens o teu número. O SIM swap quebra exatamente esse pressuposto. Quando os SMS passam a chegar ao atacante, o segundo fator deixa de te proteger e passa a protegê-lo a ele.
Com acesso aos códigos, o burlão consegue, em poucos minutos, entrar na app do banco, alterar limites, associar o MB WAY a um novo dispositivo e ordenar transferências. Por isso o SIM swap raramente é um fim em si -- é a peça que liga as outras. Costuma vir depois de uma burla que recolheu os teus dados, como o método do falso funcionário do banco, e termina com o dinheiro a sair da conta.
Os sinais de aviso
O SIM swap tem uma vantagem para a vítima: deixa rasto. Se reconheceres os sinais a tempo, podes travar o assalto antes de ele chegar à conta.
- Perda súbita e total de rede num local onde costumas ter cobertura, sem avaria conhecida.
- SMS ou email da operadora a confirmar um pedido de segundo cartão SIM ou uma portabilidade que tu não pediste.
- Deixas de receber chamadas e mensagens, enquanto outras pessoas dizem que o teu número "está desligado".
- Notificações do banco sobre logins, alterações de limites ou novos dispositivos que não reconheces.
Se o telemóvel ficar sem rede de forma estranha, não esperes que "volte sozinho". Confirma com a operadora, por outro telefone, se houve algum pedido sobre o teu número. Minutos contam.
Como te proteger antes que aconteça
A boa notícia é que há barreiras concretas, e juntas tornam o SIM swap muito difícil. A ideia central é deixar de depender do SMS como guardião da conta e reforçar o acesso ao número junto da operadora.
- Pede um PIN ou palavra-passe à tua operadora para qualquer alteração de SIM ou portabilidade. MEO, Vodafone, NOS e Digi permitem reforçar a segurança da conta -- pergunta como.
- Troca o SMS por uma app de autenticação no banco e nas contas importantes, sempre que possível. Um código gerado na app não viaja por SMS e não é intercetado por um SIM swap.
- Ativa as notificações do banco para cada operação e define limites baixos por defeito, subindo-os só quando precisas.
- Protege os teus dados pessoais. Quanto menos o atacante souber de ti, mais difícil é convencer a operadora. Desconfia de quem te pede dados "para confirmar a identidade" ao telefone.
- Usa palavras-passe fortes e diferentes no email, que é a chave-mestra de muitas recuperações de conta.
A ANACOM, no seu papel de regulador das comunicações, acompanha as regras de portabilidade e de atribuição de cartões; em caso de troca de SIM que não pediste, a ANACOM é a entidade a quem podes expor a falha junto da operadora. E o porquê de nunca partilhares os códigos que dão entrada na conta está no artigo sobre o código de confirmação por SMS.
Já me aconteceu. O que faço agora?
Se há sinais de SIM swap em curso, cada minuto pesa. Segue esta ordem.
- Contacta a operadora por outro telefone e exige o bloqueio imediato do número e do cartão SIM fraudulento.
- Liga ao banco pelo número oficial para suspender o homebanking e o MB WAY e travar transferências.
- Muda as passwords do email e das contas críticas a partir de um dispositivo seguro.
- Reúne provas -- mensagens da operadora, registos do banco, horas -- e apresenta queixa ao Gabinete de Cibercrime.
O Banco de Portugal, através do portal Cliente Bancário, recomenda comunicar de imediato qualquer operação não autorizada, porque a rapidez aumenta as hipóteses de reaver o dinheiro. Para o roteiro completo a seguir depois de uma fraude, vê o que fazer depois de dar dados a um burlão.
FAQ
Como é que o burlão consegue duplicar o meu cartão SIM?
Não duplica o cartão físico. Faz-se passar por ti junto da operadora, com dados teus recolhidos antes, e pede a transferência do número para um novo cartão SIM que ele tem. Quando a operação passa, perdes a rede e ele fica com o número.
Fiquei sem rede de repente. É logo um SIM swap?
Nem sempre -- pode ser uma avaria. Mas uma perda total de rede num sítio com boa cobertura, sem causa conhecida, merece um telefonema imediato à operadora por outro aparelho para confirmar que ninguém mexeu no teu número.
A app do banco com código por SMS protege-me?
Só até alguém te roubar o número. Como o SMS passa a chegar ao atacante, o código por SMS deixa de te proteger. Sempre que possível, troca-o por uma app de autenticação, que gera os códigos no teu dispositivo.
O que pode fazer a operadora para me proteger?
Pode associar um PIN ou palavra-passe à tua conta, exigido para qualquer mudança de SIM ou portabilidade. Pergunta à MEO, Vodafone, NOS ou Digi como reforçar a segurança do teu número.
Em resumo
O SIM swap rouba-te a conta usando o teu próprio número como chave: o burlão passa a receber os teus SMS, apanha os códigos do banco e ordena as transferências. A defesa assenta em dois pilares -- proteger o número junto da operadora com um PIN e deixar de depender do SMS, trocando-o por uma app de autenticação. E ao primeiro sinal de perda estranha de rede, liga já à operadora.