São Paulo, Brasil – Ao contrário dos cartões SIM físicos tradicionais, o eSIM é um chip integrado ao dispositivo que permite ao usuário ativar o serviço digitalmente, fazendo login em um aplicativo ou escaneando um código QR. A ESET, empresa líder em detecção proativa de ameaças, alerta que considerando essa nova tecnologia, os invasores adaptaram suas técnicas de ataque. Uma vez que conseguem roubar, é fácil obterem códigos de acesso e autenticação de dois fatores para diferentes serviços, incluindo bancos e mensagens, abrindo caminho para a realização de golpes.
Os cibercriminosos conseguem acessar as contas móveis dos usuários usando credenciais roubadas, forçadas ou vazadas. O ataque inicial começa com engenharia social, phishing e outros métodos de engano, invadindo a conta do usuário e obtendo o código QR que lhes permite ativar o eSIM em seu próprio dispositivo, efetivamente sequestrando o número da vítima.
De acordo com um relatório da empresa russa de segurança cibernética F.A.C.C.T., a troca de eSIM aumentou durante 2023, aproveitando a transição para a tecnologia eSIM. Naquele ano, foram registradas mais de uma centena de tentativas de acesso às contas pessoais dos clientes em serviços online em uma única instituição financeira, sendo essas empresas os principais alvos após a clonagem do eSIM.
Ser vítima da troca do eSIM pode ter sérias consequências para a segurança e privacidade dos usuários. Algumas das ameaças incluem:
- Roubo de identidade digital:os cibercriminosos podem obter acesso às contas digitais da vítima, incluindo e-mails, redes sociais e serviços bancários, comprometendo sua identidade digital e expondo informações pessoais e financeiras.
- Fraude financeira: com acesso aos serviços bancários online da vítima, os criminosos podem realizar transações, transferindo fundos ilegalmente e comprometendo sua estabilidade financeira.
- Extorsão e chantagem: os cibercriminosos podem usar o acesso às mensagens e contatos da vítima para realizar extorsão ou chantagem, ameaçando revelar informações confidenciais ou comprometedoras.
- Danos à reputação: se os cibercriminosos usarem o acesso à conta da vítima para divulgar informações falsas ou prejudiciais, isso pode resultar em danos à reputação pessoal e profissional.
A ESET compartilha algumas medidas que podem ser tomadas para se proteger e evitar o roubo do número de telefone:
- Nunca usar a verificação em duas etapas via SMS: de todas as formas de proteger um eSIM, a conta do WhatsApp ou as redes sociais, a verificação por SMS é desaconselhada. Com acesso ao número, o cibercriminoso poderá invadir suas outras contas facilmente ao receber o código de segurança por mensagem de texto. É recomendável sempre usar aplicativos de token de acesso para proteger as contas.
- Habilitar a verificação em duas etapas no WhatsApp: abrir o WhatsApp; selecionar "Menu" (os três pontos) e depois "Configurações"; toque em "Conta", "Verificação em duas etapas"; configure um código PIN de seis dígitos, que será solicitado ao fazer login no WhatsApp. O aplicativo solicitará ao usuário o código de tempos em tempos, para garantir que mais ninguém esteja usando; também é possível configurar um endereço de e-mail para recuperar o PIN caso seja esquecido. Em alguns casos, o WhatsApp pode solicitar a adição de um e-mail de recuperação se o código for esquecido. É extremamente importante que este e-mail também seja protegido pela verificação em duas etapas, que não seja via SMS.
- Prestar atenção ao phishing: a troca de eSIM é especialmente baseada em golpes de phishing, como e-mails e mensagens suspeitas. Como se trata de um golpe relacionado à engenharia social, é importante ter cuidado com contatos desconhecidos.