Ataque de troca de SIM: como hackers sequestram seu número de telefone.
Seu número de telefone é, silenciosamente, a chave mestra do seu dinheiro. Seu banco, seu e-mail, sua corretora de criptomoedas, todos confiam nele para comprovar sua identidade, geralmente enviando um código por SMS. Um ataque de troca de SIM rouba essa chave e a entrega a um estranho, muitas vezes no tempo que você leva para perceber que o sinal na sua tela caiu para "Sem serviço". Quando você se reconecta, o invasor pode ter redefinido suas senhas e esvaziado suas contas. Para quem possui criptomoedas, o prejuízo é ainda maior — uma vez que as moedas saem de uma carteira, ninguém consegue recuperá-las.
Este guia explica o que é um ataque de troca de SIM, como ele funciona passo a passo, por que se tornou a ferramenta preferida para roubar criptomoedas e as poucas mudanças que realmente o impedem.
O que é um ataque de troca de SIM e por que ele funciona
Um ataque de troca de SIM é uma fraude de apropriação de conta que explora uma vulnerabilidade na autenticação de dois fatores: a mensagem de texto . Seu SIM, abreviação de módulo de identidade do assinante, é o pequeno chip que vincula seu número de celular ao seu telefone. Em um ataque de troca de SIM, o invasor nunca toca no seu aparelho. Em vez disso, ele convence sua operadora a transferir seu número para um novo chip que ele possui. No momento em que a troca é concluída, todas as chamadas e mensagens de texto destinadas a você, incluindo códigos de segurança, chegam ao telefone do invasor.
É aqui que as pessoas se enganam. Não se trata de uma invasão de telefone nem de uma falha no algoritmo de criptografia. Trata-se de um ataque ao serviço de atendimento ao cliente. A vulnerabilidade explorada reside no fator humano da operadora e na falsa premissa de que controlar um número de telefone comprova a identidade. Simplificando, um golpe de troca de SIM nada mais é do que alguém persuadindo uma empresa a ceder seu número e, em seguida, usando-o para acessar tudo o que esse número protege. Pesquisadores de segurança classificam golpes de troca de SIM como roubo de identidade por um bom motivo. O atacante não está apenas atrás do seu dinheiro; por um tempo, ele controla toda a sua identidade digital, tudo isso roteado por meio de uma conta de celular comum que você presumia ser exclusivamente sua.
Como funciona um ataque de troca de SIM, passo a passo
Quase todos os casos seguem os mesmos três passos, e nenhum deles exige conhecimentos avançados de hacking. Requerem apenas paciência e uma história convincente.
Etapa 1: Coletando suas informações pessoais
Primeiro, o atacante cria um perfil seu. Ele extrai informações pessoais de antigos vazamentos de dados vendidos na dark web, de e-mails de phishing que o enganam para que você digite seus dados e de suas próprias redes sociais. Uma data de aniversário aqui, o nome de um animal de estimação ali, os quatro últimos dígitos de um cartão de um banco de dados vazado, e ele já tem informações pessoais suficientes para parecer que está falando com você ao telefone. Quanto mais você publica publicamente, mais barato fica esse passo. A maior parte desses dados pessoais não foi roubada recentemente. Eles vazaram anos atrás em alguma violação de dados esquecida, e o atacante está simplesmente reunindo as peças dispersas para formar um todo convincente.
Etapa 2: Fingir ser você para a transportadora
Em seguida, eles se fazem passar por você junto à sua operadora de celular. Às vezes, isso acontece por meio de uma ligação telefônica com uma história ensaiada sobre um telefone perdido ou quebrado. Outras vezes, é uma visita presencial a uma loja com um documento de identidade falso. Nos piores casos, o atacante simplesmente suborna ou recruta um funcionário da operadora, transformando toda a defesa em um único agente interno desonesto. Isso é engenharia social, não código, e funciona porque a equipe de suporte é treinada para ser prestativa e agilizar o atendimento.
Etapa 3: A troca e a aquisição
Assim que a operadora ativa o novo SIM — o momento decisivo de todo o ataque — seu telefone principal fica sem sinal. Agora o invasor controla o número. Ele acessa seu e-mail ou sua conta de e-mail, clica em "esqueci minha senha" e permite que o código de redefinição chegue por SMS. Ele intercepta o SMS, redefine a senha e obtém acesso. Com seu e-mail comprometido, o invasor invade todas as outras contas vinculadas a ele. A invasão completa da conta pode acontecer em minutos — muito antes que a maioria das pessoas perceba por que seu telefone ficou sem sinal.
Por que a troca de SIM é uma máquina de roubo de criptomoedas
Diversos ataques podem esvaziar uma conta bancária, mas os bancos conseguem reverter transferências fraudulentas. Com criptomoedas é diferente, e essa diferença é exatamente o motivo pelo qual uma troca de SIM é tão devastadora nesse setor das finanças.
A autenticação de dois fatores por SMS é o único ponto de falha.
A maioria das corretoras ainda permite que os usuários protejam suas contas com um código enviado por SMS. Isso parece seguro até você perceber que toda a defesa se baseia em uma premissa: a de que somente você recebe as mensagens. A troca de SIM quebra essa premissa completamente. Um código interceptado redefine o login, e a autenticação de dois fatores por SMS, que deveria ser sua rede de segurança, se torna a porta aberta. O invasor não precisa da sua senha se puder redefini-la pelo seu número. Pior ainda, o mesmo truque invalida a própria senha, porque muitas corretoras permitem que você recupere uma senha esquecida por SMS. O código por SMS não é uma segunda camada de segurança; é a única, e a troca de SIM detém a chave. Até mesmo instituições são pegas: em 2024, a própria conta X da SEC foi invadida por meio de uma troca de SIM e usada para publicar uma aprovação falsa de um ETF de Bitcoin, o que abalou brevemente o mercado.
Irreversível por concepção
Um banco pode congelar uma transferência bancária e reverter uma cobrança. Uma blockchain não. Assim que um invasor transfere suas criptomoedas para uma carteira que ele controla, a transferência é definitiva, sem possibilidade de estorno e sem suporte técnico disponível. Essa irreversibilidade é uma característica das criptomoedas — mas transforma uma simples troca de SIM em uma perda permanente, e é por isso que os invasores visam especificamente detentores de criptomoedas conhecidos. Os valores em dólares mostram o quanto está em jogo.
| Caso | Ano | Quantia | Como aconteceu |
|---|---|---|---|
| Michael Terpin contra AT&T | 2018 | US$ 24 milhões | Número portado, contas de criptomoedas esgotadas |
| Golpe no dia da falência da FTX | 2022 | cerca de 400 milhões de dólares | Troca de SIM durante o colapso da central |
| Roubo de bitcoins em Washington DC | 2024 | 4.100 BTC, cerca de US$ 263 milhões | Engenharia social e troca de SIM cards resultam em 9 condenações. |
| vítima de arbitragem da T-Mobile | 2020 | Prêmio de US$ 33 milhões | Falha de segurança da operadora, trocas repetidas |
| Sequestro de conta SEC X | 2024 | postagem falsa que movimenta o mercado | Troca de SIM da conta da agência |
Quão comuns são, na realidade, os ataques de troca de SIM?
A resposta honesta é um paradoxo. Em números absolutos, esses ataques são raros, mas por vítima são catastróficos, e os números oficiais subestimam bastante as perdas em criptomoedas.
Primeiro, observe os totais relatados. O Centro de Reclamações de Crimes na Internet do FBI registrou 982 queixas de troca de SIM em 2024, com perdas de aproximadamente US$ 26 milhões, uma queda em relação ao pico de quase US$ 72,6 milhões em 2022. A Microsoft observou que menos de 0,3% dos ataques de identidade usam troca de SIM, um número insignificante se comparado ao phishing comum. Considerando apenas esses números, você poderia dar de ombros.
| Ano | Perdas relatadas com troca de SIM (FBI IC3) |
|---|---|
| 2022 | US$ 72,6 milhões |
| 2023 | US$ 48,8 milhões |
| 2024 | US$ 26 milhões (982 reclamações) |
Então, observe com mais atenção. No mesmo ano em que as perdas oficiais com o golpe SIM swap giraram em torno de US$ 26 milhões, um único caso em Washington D.C. movimentou aproximadamente US$ 263 milhões em bitcoin, e o roubo da FTX levou cerca de US$ 400 milhões. Nenhum dos dois se enquadra na categoria de golpe SIM swap, porque os investigadores os classificam em categorias mais amplas de fraude ou roubo. A conclusão não é que o ataque seja inofensivo. É que ele é incomum, cirúrgico e direcionado a pessoas com dinheiro real, especialmente criptomoedas, onde um sucesso compensa mil fracassos. Em média, cada golpe SIM swap relatado em 2024 custou à sua vítima cerca de US$ 26.000, e esses são apenas os casos pequenos o suficiente para serem classificados como golpes SIM swap. Os roubos de criptomoedas que ganham as manchetes, aqueles na casa das dezenas ou centenas de milhões, estão em registros completamente diferentes.
Sinais de alerta de um ataque de troca de SIM
Geralmente, você recebe um aviso de que a troca do SIM está em andamento, e o cronômetro começa a contar assim que o aparelho pousar. Aqui, o que importa são os minutos, não as horas.
O principal sinal é muito simples: seu celular perde o sinal sem motivo aparente. Bateria cheia, sem interrupção da operadora, todos ao seu redor com sinal, e o seu simplesmente some. No centro da cidade, isso não é uma falha. Considere como o alarme que provavelmente é. Os outros sinais aparecem em qualquer dispositivo que ainda esteja funcionando. Você é bloqueado de uma conta que usou ontem. Recebe uma mensagem de texto para redefinir a senha, que você nunca solicitou. Sua operadora envia um e-mail "confirme" um novo chip que você não pediu. Perceba qualquer um desses sinais em seus outros dispositivos móveis e considere que alguém está tentando assumir o controle do seu número de celular neste exato momento. Seja o que for que você faça em seguida, faça rápido, porque o invasor já está agindo.
Como evitar a troca de SIM e se proteger
Você não pode impedir um criminoso determinado de usar engenharia social em uma central de atendimento, mas pode tornar seu número inútil para ele. Uma mudança faz muito mais diferença do que as outras.
Ganhe desconto em SMS
Uma ação é mais importante que todas as outras. Pare de usar mensagens de texto como segundo fator de autenticação para qualquer coisa que tenha valor. Migre todos os seus logins de corretoras, bancos e e-mails para um aplicativo autenticador ou, melhor ainda, para uma chave de segurança física que um invasor teria que roubar pessoalmente. Isso não é mais paranoia extremista. No final de 2024, o FBI e a CISA recomendaram que o público abandonasse completamente os códigos SMS, e as novas regras federais de identidade do NIST não consideram mais o SMS como uma forma suficiente de proteger contas sensíveis. Se um serviço oferece apenas mensagens de texto, invista seu dinheiro em algo que suporte um aplicativo ou uma chave. O motivo pelo qual funciona é simples. Um código autenticador fica armazenado apenas no seu dispositivo. Uma chave física não pode ser copiada nem obtida por meio de persuasão telefônica. Nenhuma das duas é transferida para o seu número quando este é roubado, então a troca acaba resultando em um número que não desbloqueia nada.
Trave o transportador e sua pegada.
Em seguida, proteja o próprio número. Adicione um PIN ao SIM ou um bloqueio de transferência de número com sua operadora para que nenhuma troca possa ocorrer sem ele. Muitas operadoras agora oferecem isso gratuitamente, como a Proteção SIM da Verizon, que bloqueia alterações até que você a desative. Use uma senha forte e exclusiva e um gerenciador de senhas para que uma única violação de dados não desbloqueie tudo. E pare de exibir seus ativos em criptomoedas, porque a ostentação pública é como os invasores escolhem seus alvos. Carteiras discretas são roubadas com muito menos frequência do que as ostensivas.
O que fazer se você for vítima de uma troca de SIM
A velocidade determina a gravidade de uma fraude de troca de SIM, então proceda na ordem correta. Primeiro, ligue para sua operadora de outro telefone para relatar o sequestro do SIM e recuperar seu número. Em seguida, de um dispositivo que ainda seja confiável, redefina as senhas de seus e-mails e contas de corretoras e desative a autenticação de dois fatores por SMS em todas elas. Se você possui criptomoedas, congele os saques em sua corretora e transfira os fundos, se ainda for possível. Depois, documente tudo e registre boletins de ocorrência no Centro de Reclamações de Crimes na Internet do FBI e na FTC (Comissão Federal de Comércio dos EUA). Nada disso desfaz um roubo já consumado, mas pode interromper um ataque em andamento e impedir que a invasão da conta se espalhe.
Um ataque de troca de SIM visa o elo mais fraco.
Um ataque de troca de SIM não compromete sua segurança; ele a contorna, usando uma operadora de telefonia que nunca foi criada para proteger suas economias. Seu número nunca foi pensado para ser um documento de identidade, mas o integramos a tudo que importa. Para qualquer coisa que envolva dinheiro, a suposição mais segura é simples: considere a autenticação de dois fatores por SMS como já comprometida e migre para um aplicativo ou uma chave física hoje mesmo, em vez de esperar até perder o sinal em uma tarde qualquer. A solução é simples, completa e leva cerca de dez minutos. Então, a única pergunta que importa é: se seu telefone parasse de funcionar agora, quanto um estranho conseguiria roubar antes que você o recuperasse?
