Notícias

PSP Alerta: Sabe o que é o SIM Swapping e o que não deve fazer

33 Comentários

O mundo está repleto de esquemas “manhosos”! Com o aparecimento da internet e dos dispositivos moveis, os burlões têm vindo a tirar proveito da ingenuidade dos utilizadores.

Já ouviu falar no conceito SIM Swap ou SIM Swapping? Saiba o que é e o que não deve fazer.

PSP Alerta: Sabe o que é o SIM Swapping e o que não deve fazer


SIM Swapping – Clonagem do cartão SIM

Foi na rede social que a Polícia de Segurança Pública alertou hoje para o SIM Swapping. De acordo com as informações, o SIM Swapping acontece quando alguém consegue clonar um cartão SIM e aceder às informações do utilizador.

Um dos métodos para clonagem se realizar é através de Engenharia Social. Nesse sentido é necessário que o cibercriminoso conheça os dados pessoais da vítima como o nome completo, número de telemóvel, documento de identificação ou outros dados pessoais. Desta forma pode tentar passar-se por outra pessoa e solicitar numa operadora a transferência de informações de um cartão SIM para outro novo.

Outra das formas é a clonagem “manual” do cartão. Neste caso é mais complicado porque o cibercriminoso tem de ter acesso físico ao cartão.

PSP Alerta: Sabe o que é o SIM Swapping e o que não deve fazer

O cartão SIM é a porta de entrada para tudo o que armazenamos nos nossos smartphones. O SIM Swapping é um tipo de ataque que permite a duplicação do cartão SIM e pode incluir a fraude, roubo de dados, usurpação de identidade, etc.

No caso da clonagem “manual” do cartão, toda a informação mantida no cartão é copiada para um novo. Nestes casos, o atacante tem ainda a possibilidade de enviar malware para os contactos. No entanto, são já raras as situações em que os utilizadores guardam os contactos no cartão SIM.

A “boa notícia” deste esquema (no caso da clonagem “manual”) é que cada cartão tem um identificador, e não podem existir dois cartões ativos com a mesma informação na rede.

Esteja atento e não partilhe o número de telefone ou outras informações pessoais em fóruns públicos ou redes sociais.

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
PSP SIM Swapping

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Total World War, um louco conflito global
Artigo anterior

Total World War, um louco conflito global
Apple lança atualização de firmware para AirPods Pro
Próximo artigo

Apple lança atualização de firmware para AirPods Pro
PUB

Comentários

33

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Chico
    Chico

    Aconteceu há dois anos à minha mulher. Queixas feitas junto da PSP e Vodafone. Esta última dizia ser impossível haver dois cartões iguais. Pura ignorância.
    Felizmente, após horas ao telefone e presencialmente, cancelaram o número, não sem antes as pegas (sim, clonaram para uma casa de meninas) gastarem uma pequena fortuna, que não foi paga, obviamente.

    Responder
  2. Avatar de Figueiredo
    Figueiredo

    Então significa que qualquer entidade que possua esses dados, pode de forma simples, praticar esse crime.

    Fica o alerta para que os cidadãos tenham cuidado com as informações que colocam/disponibilizam por exemplo nos currículos, nunca se sabe o que empresas duvidosas ou de trabalho temporário podem fazer com esses dados.

    Responder
  3. Avatar de A. Martins
    A. Martins

    O que me vem à ideia neste momento, é que as próprias operadoras/funcionários/vendedores, são os potenciais veículos donde pode partir toda a “marosca”. Têem os nossos dados pessoais, inclusivé cópias dos nossos cartões de cidadão (frente e verso), (só recentemente temos uma lei a que nos podemos tentar “agarrar” para não facultar esta dado), cópias de comprovativos das nossas moradas, e finalmente é claro, o nr. de telemóvel). Poderão haver outras fontes, mas esta é certamente a mais duvidosa, pelo menos para mim!!

    Responder
    1. Avatar de Bo00ored
      Bo00ored

      Tenho-te a dizer que já aconteceu várias vezes. Quem cedeu as segundas vias está com queixas crime.

      Responder
    2. Avatar de rui
      rui

      a lei da cópia dos cartões de identificação é de 1900 e carqueja, apenas os media resolveram dar destaque aqui à uns tempos por uma ministra ter falado no assunto, e com o buzz do rgpd que não mudou nada nesse respeito se passo a informar mais.

      Responder
    3. Avatar de ze
      ze

      O problema é ainda maior, basta eu estar atento num almoço na mesa do lado para saber como a pessoa se chama e facilmente no final do almoço sabes o NIF.
      Basta isso para fazeres o que quiseres em diversos serviços, incluindo, água, luz, gás, telecomunicações, etc.
      Consegues complementar a restante informação ligando para os serviços e cruzando informação, e se um operador não dá é só desligar e fazer novo telefonema.

      Go ahead stalkers..

      Responder
  4. Avatar de John Doe
    John Doe

    Ou seja, não há grande forma de proteção certo?
    Basta que tenham os dados da vítima?
    Número, CC e Nome completo?
    Está bonito está…

    Responder
    1. Avatar de ervilhoid
      ervilhoid

      Realmente, forma de proteção parece ser inexistente, portanto o título quando diz “o que não deve fazer” não se aplica porque não podemos fazer mesmo nada

      Responder
  5. Avatar de pirata das cavernas
    pirata das cavernas

    o que eu acho estranho é .. se eu quiser ter 2 cartoes com o mesmo numero tenho que pagar uma mensalidade, e para que um funcione o outro tem que estar desligado… por isso pergunto como é possível isto… ? é que ha coisas aqui que nao fazem sentido..

    Responder
    1. Avatar de Nelson Branquinho
      Nelson Branquinho

      Isso que refere não é clonagem de cartão mas sim os chamados “cartões SIM” gémeos. Os cartões SIM têm um único identificador (tipo o nosso CC) e que permite ter acesso ou não à rede. Na realidade e nessa situação de 2 cartões com o mesmo número, esses mesmos cartões são diferentes porque cada um tem o seu único ID. Ora, quando tenta usar a rede móvel, os sistemas vão verificar se é valido ou não.

      no caso que falam neste tema, é pura clonagem de SIM (fotocopia) em que ambos os SIM ficam com o mesmo identificador. Aqui a rede verifica que esse identificador está operacional, então não permite que o outro SIM com o mesmo identificador use a rede.

      Responder
      1. Avatar de Gil
        Gil

        Os cartões gémeos podem ser usados ao mesmo tempo na rede, possuem ID diferentes, apenas partilham o mesmo numero telemóvel.
        Só um pode receber chamadas, mas os 2 podem estar a fazer chamadas ao mesmo tempo.
        Tenho um gémeo que está no tablet a usar dados do meu plafon.

        Responder
    2. Avatar de ze
      ze

      Na caverna nada costuma fazer sentido.

      Responder
  6. Avatar de André Correia
    André Correia

    O que isto é basicamente obter os dados para pedir uma 2a via do cartão junto da operadora eu já o fiz na altura da mudança dos micro para os nano pedi para que fosse alterado o sim para um cartão pré existente (vinha com o telefone) mas com um número diferente do meu para evitar ir a loja dei os meus dados o id do cartão para o qual queria mudar o meu número e 1 minuto depois estava a funcionar

    Responder
  7. Avatar de Joao Ptt
    Joao Ptt

    Isto é problemático de proteger as pessoas do furto, porque o número é da pessoa em teoria, mas antes era dos operadores e são estes que na prática mandam como o provam os repetidos casos de transferências ilegais de números.

    Não vejo outra forma que não fosse ser uma entidade pública ou privada (isso não me interessa) que atribuísse centralmente os números, com códigos complexos associados para entrar num portal central e então efectuar tais alterações da localização do número para outro cartão/ dispositivo.

    Nem seria necessário registos, compravam o cartão em qualquer local (hipermercado, mercearia, etc.) e já vinha com tal cartão de segurança, se perdesse ou terceiros tivessem acesso azar o da pessoa, mas caso contrário pelo menos acabava-se esta coisa de com alguns dados públicos ou fáceis de conseguir em muitos casos conseguir furtar o número.
    Bastava algo tipo, utilizador: 6WVJ4-H2XJ6-E4GE5-7XJYN-SQJ5C-3GGVU-SNHYS-3D7LG senha: Z5DU3-LL5X5-CENNW-V4XKJ-GVXZU-ND2SJ-LTFVR-KHLUG código de transferência: 3E69Y-XGNKJ-SMR55-SJMYR-D5CJF-2CMFL-HVK3M-TYVE7 boa sorte para adivinharem os três.

    Responder
  8. Avatar de andy
    andy

    Realço que há aqui um perigo ainda maior nesta fraude que vai para além do roubo de dados do cartão SIM ou de custear a utilização do usurpador, que é o caso de quem utiliza o SMS como “autenticação forte” de 2 fatores (ou SMS Token) para acesso a sistemas/plataformas, lojas online ou até mesmo para gestão conta bancária.

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      Pois, bem visto.

      Responder
    2. Avatar de A. Martins
      A. Martins

      Já se sabia desta nova forma de “hijacking” á muito tempo. No entanto uns “iluminados” da CE, resolveram criar uma obrigatoriedade de confirmação em dois passos, baseado nos SMS, como sendo uma forma mais segura. Curiosamente, cada vez mais se fala nesta “nova tendência” do “Sim Swapping”!!! Não será por mero acaso, está visto. Alguém já está de olho nesta nova forma, mais fácil ainda, de se apoderar de credenciais bancárias!! Não faz sentido, e ninguém faz nada para acabar com esta prática insegura!!

      Responder
    3. Avatar de Sérgio
      Sérgio

      Gestão bancária é quase impossível , é preciso muito mais , até podes ter acesso ao CC , nr tlf , por si só não dá para nada .

      Responder
      1. Avatar de ze
        ze

        Com SIM consegues acesso ao email, com acesso ao email consegues acesso a tudo, tudo o que tiver 2FA com SMS fica comprometido.

        Só se por exemplo usarem apps de 2FA é que se safam de não ficarem sem nada.

        Responder
      2. Avatar de So-rir
        So-rir

        Verdade, eu pessoalmente para mudar o número de telemóvel num banco foi um problema pois não tinha o antigo número para poder receber o pedido de autorização da mudança de número e estava lá em pessoa com todos os meus documentos…
        E para entrar na conta precisa de outros dados antes de receber o código de segurança via SMS.

        Responder
    4. Avatar de pedro
      pedro

      https://pplware.sitedev.pt/informacao/investidor-24-milhoes-dolares-bitcoin-cartao-sim/

      Responder
    5. Avatar de Jhonathan
      Jhonathan

      Consegue barrar o SIM SWAPPING (99% dos casos), desativando a Caixa Postal na sua Operadora, coisa que deveria estar desativada, e so ser ativada se o cliente pedir.

      Responder
      1. Avatar de Jhonathan
        Jhonathan

        https://www.youtube.com/watch?v=MTB6JKL-UFw

        Responder
      2. Avatar de ze
        ze

        Isto não é o Brasil.

        Responder
        1. Avatar de Jhonathan
          Jhonathan

          Com base nesse tipo de resposta, que se percebe o quao facil disto de acontacer hoje…

          Responder
  9. Avatar de pedro
    pedro

    https://pplware.sitedev.pt/informacao/investidor-24-milhoes-dolares-bitcoin-cartao-sim/

    Responder
  10. Avatar de Gil
    Gil

    Alguma confusão nos comentários entre sim-swapping, segundas vias cartão e cartão gémeo que a MEO disponibiliza.
    Por não ser conhecedor, não vou definir cada situação.
    Pelo que percebi na noticia, o sim-swapping não replica o nº telemóvel, apenas o ID do SIM e as operações que se faz na rede com esse ID, como seja a autenticação em serviços e pagamentos. é isso ?
    Como já ninguém usa o SIM para guardar contactos e SMS, quem replica não tem essa informação.
    Nem sei o que actualmente é guardado num SIM, alem das credenciais que possa haver entre o equipamento e a operadora.

    Obrigado,

    Responder
    1. Avatar de Gil
      Gil

      E adicionalmente, se formos alvo de sim-swapping, o nosso cartão deixa de se registar na rede do operador porque já existe um SIM com o mesmo ID ativo na rede, por isso sabemos logo que fomos alvo de um sim-swapping. É isso ?

      Responder
  11. Avatar de César Boaventura
    César Boaventura

    ja me aconteceu a mesma coisa

    Responder
  12. Avatar de Pérolas
    Pérolas

    Há 2 coisas coisas que a malta tem (ou deveria) de por na cabeça: A segurança é incómoda? É! A privacidade é desconfortável? Sim! Dito isto, os bancos, não estão a fazer o que deviam, ou seja, se quisessem realmente incrementar a segurança, para cada transferência ou pagamento deviriam ser pedidos o usual login e password + coordenada + sms!!! Ou no minimo dar a possibilidade au utilizador de escolher uma segurança de 2 ou 3 factores. Dito isto, uma senha pode estar na «cabeça do utilizador», a outra exige um cartão fisico, e a outra um telemóvel… «dificilmente» um atacante remote passa por cima deste 3 elementes num cenário em que o utilizador não é um «info-excluido». Agora tirem as vossa conclusões…

    Responder
    1. Avatar de ze
      ze

      Não precisas de nada disso, é só o 2FA ser via app e não via SMS.
      Exemplo, Microsoft Authenticator, tens dezenas de outros fabricantes a fazer o mesmo.
      Os bancos deviam recorrer a serviços de 2FA ou implementar o seu proprio e esquecer a SMS.

      Responder
  13. Avatar de Marco Lopes
    Marco Lopes

    “Um dos métodos para clonagem se realizar é através de Engenharia Social. Nesse sentido é necessário que o cibercriminoso conheça os dados pessoais da vítima como o nome completo, número de telemóvel, documento de identificação ou outros dados pessoais. Desta forma pode tentar passar-se por outra pessoa e solicitar numa operadora a transferência de informações de um cartão SIM para outro novo.”

    E como é que uma OPERADORA ACEITA fazer uma coisa destas? Evidentemente não é só ter ACESSO aos dados pessoais… é ter uma CÓPIA FALSA do CC ou BI…

    Por outro lado, e mesmo que isso aconteça, o cartão original não fica SEM EFEITO?

    Responder
  14. Avatar de Um gajo sério
    Um gajo sério

    O que é pior é que as entidades com quem nos relacionamos, Banca, Operadoras de Eletricidade, Operadoras de Águas, Operadoras de Serviços de Televisão, Via Verde, Seguradoras, etc, fazem quando nos contactam por mail para nos enviar os extratos mensais e não o deveriam fazer.
    Esta é a maneira mais fácil de propagar dados que só nós deveríamos saber mas que essas entidades nos fazem o “favor” de tornar públicas.
    O que a lei manda que é anonimizar os dados, ou seja para quem não sabe, é converter os dados biográficos (Nome, NIF, CC, Moradas, etc) em informação encriptada ou melhor ainda, não a mencionar no mail.
    A ter que ser menciona ela deveria ser anonimizada ou pseudonimizada https://diariodarepublica.pt/dr/detalhe/lei/58-2019-123815982 Artigo 31.º
    Por exemplo os dados do presidente de todos nós:
    Nome: Marcelo Nuno Duarte Rebelo de Sousa truncado para Sr.(a) M* Sousa ou Sr.(a) Sousa
    Morada: Praça Afonso de Albuquerque Palácio Nacional de Belém, CP 1300-004 Lisboa truncado para Lisboa
    NIF: 123456789 truncado para *2*4***** e suas variantes com apenas 2 dígitos visíveis
    Cartão de Cidadão: 012345678 truncado para *1*3***** e suas variantes com apenas 2 dígitos visíveis

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.