Ataques de Troca de SIM: Como a Verificação Telefônica Impede a Tomada de Conta (PT-BR)

Um ataque de troca de SIM é uma técnica de tomada de conta onde um fraudador convence uma operadora de celular a transferir o número de telefone de uma vítima para um cartão SIM controlado pelo atacante. Uma vez que eles possuem o número, cada senha de uso único (OTP) enviada por SMS para esse número — para login, redefinição de senha ou aprovação de transação — chega às mãos deles, e não do titular legítimo da conta.

O ataque é particularmente eficaz porque burla a camada de autenticação que a maioria dos usuários e muitas plataformas acreditam ser segura. Entender como as trocas de SIM funcionam, por que as OTPs por SMS sozinhas são insuficientes e como adicionar controles mais fortes é a base de uma defesa eficaz contra a tomada de conta (ATO).

Principais pontos

• Uma troca de SIM transfere o número de telefone de uma vítima para um SIM controlado pelo atacante, usando engenharia social na equipe de atendimento ao cliente de uma operadora de celular.
• Uma vez que um atacante possui o número, ele pode receber OTPs por SMS (senhas de uso único) para login, redefinição de senha e confirmação de transações em nome da vítima.
• A OTP por SMS sozinha não é um fator de autenticação suficiente para contas de alto valor — ela é vulnerável a trocas de SIM, interceptação SS7 e ataques de phishing de OTP.
• A combinação de verificação telefônica com sinais de dispositivo e IP, e a exigência de biometria em etapas para ações sensíveis, fecha a superfície de ataque que a OTP por SMS deixa aberta.
• Didit oferece verificação telefônica multicanal (SMS, WhatsApp, Telegram, RCS, voz) juntamente com Análise de IP (US$ 0,03), Detecção de Liveness Passiva (US$ 0,10) e Autenticação Biométrica (US$ 0,10) que compõem uma pilha de segurança em etapas.

Como funciona um ataque de troca de SIM

A sequência do ataque é direta:

1. Seleção do alvo — o atacante identifica uma vítima, tipicamente através de registros de vazamento de dados ou pesquisa em mídias sociais, e confirma o número de telefone associado à sua conta.
2. Impersonificação da operadora — o atacante liga para a operadora de celular da vítima, fingindo ser o titular da conta. Usando informações de identificação pessoal (PII) coletadas de dados vazados ou fontes públicas, eles solicitam uma transferência de SIM — "Perdi meu telefone e preciso ativar meu número neste SIM."
3. Número portado — a operadora, incapaz de distinguir o fraudador do cliente legítimo, completa a transferência. O telefone da vítima perde o serviço; o SIM do atacante recebe todas as chamadas e SMS.
4. Tomada de conta — o atacante aciona uma redefinição de senha na plataforma alvo. A OTP por SMS chega ao dispositivo deles. Eles definem uma nova senha e controlam a conta.

A vítima tipicamente só percebe quando seu telefone perde o serviço inesperadamente ou recebe alertas de ações que não realizou — muitas vezes depois que o dano já foi feito.

Por que a OTP por SMS não é suficiente por si só

A OTP por SMS foi projetada como um segundo fator que assume que um número de telefone está seguramente vinculado a uma única pessoa. A troca de SIM quebra essa suposição no nível da operadora, fora do controle da plataforma. Mas não é a única fraqueza:

Vulnerabilidades do protocolo SS7 — o protocolo Signaling System 7 (SS7) que roteia o tráfego telefônico global tem vulnerabilidades documentadas que permitem que atores sofisticados interceptem mensagens SMS em trânsito sem acesso físico ao SIM.

Phishing de OTP — kits de phishing em tempo real proxy um fluxo de autenticação, extraindo a OTP que a vítima insere no site falso do atacante e reproduzindo-a contra a plataforma real dentro da janela de validade da OTP.

SIM-farming — grupos de fraude organizados operam grandes estoques de cartões SIM registrados sob identidades sintéticas, usando-os para receber OTPs para contas que já comprometeram através de credential-stuffing.

O padrão é consistente: qualquer sistema que trate a OTP por SMS como a verificação de segurança final tem um único ponto de falha que pode ser contornado sem tocar nos próprios controles de segurança da plataforma.

A pilha de defesa: camadas que trabalham juntas

A defesa eficaz contra a troca de SIM não é um único controle — é uma pilha de sinais e etapas de verificação que torna o ataque antieconômico em cada estágio.

Camada 1: Inteligência telefônica no registro

Antes de emitir uma OTP, colete inteligência sobre o próprio número de telefone. Sinais úteis incluem:

• Tipo de linha: é um número de celular ou um número VoIP (Voz sobre IP)? Números VoIP podem ser provisionados instantaneamente sem verificação da operadora e são comumente usados em operações de fraude.
• Operadora e país: a operadora corresponde ao país declarado do usuário? Um número registrado em uma operadora em um país que o usuário não declarou deve ser sinalizado.
• Capacidade de alcance: a OTP pode realmente ser entregue? A entrega multicanal — SMS, WhatsApp, Telegram, RCS ou voz — testa a capacidade de alcance, ao mesmo tempo em que oferece opções ao usuário.

Esses sinais estão disponíveis antes de você enviar uma única OTP. Eles permitem que você aplique controles mais rigorosos a números de maior risco sem afetar a experiência para usuários legítimos.

Camada 2: Sinais de dispositivo e IP juntamente com a OTP

A Análise de IP a US$ 0,03 adiciona um contexto que a inteligência telefônica por si só não pode fornecer: o IP é consistente com a localização declarada do dispositivo? A conexão está vindo de uma VPN, proxy ou nó de saída Tor? Este IP foi associado a tentativas de fraude anteriores?

Uma troca de SIM tipicamente coincide com uma nova sessão de dispositivo — o atacante tem um dispositivo diferente do que o usuário legítimo já usou. A impressão digital do dispositivo que rastreia a consistência da sessão (tipo de dispositivo, impressão digital do navegador/aplicativo, fuso horário, configurações de idioma) pode sinalizar um dispositivo de primeira vez acessando uma conta de alto valor durante uma ação sensível, mesmo antes que a OTP seja concluída.

Camada 3: Biometria em etapas para ações sensíveis

O controle mais forte para momentos de alto risco — grandes saques, novos métodos de pagamento, recuperação de conta, mudanças de endereço — é uma biometria em etapas que exige que o usuário realize uma verificação de liveness correspondente à sua biometria registrada.

Uma biometria em etapas não é algo que um atacante de troca de SIM pode satisfazer. Eles têm o número de telefone; eles não têm o rosto. Detecção de Liveness Passiva a US$ 0,10 e Autenticação Biométrica a US$ 0,10 são as verificações que impedem a tomada de conta no ponto onde causaria o maior dano.

O princípio é o atrito proporcional: sessões de baixo risco prosseguem normalmente; ações de alto risco acionam uma verificação biométrica rápida e nativa do celular que o usuário legítimo mal percebe, mas o atacante não pode passar.

Como a Didit ajuda

A verificação telefônica da Didit entrega OTPs através de múltiplos canais — SMS, WhatsApp, Telegram, RCS e voz — encontrando os usuários onde eles estão e fornecendo flexibilidade de entrega que o SMS de canal único não pode igualar. A entrega multicanal também testa a capacidade de alcance do número em todos os protocolos: um número que não pode receber uma mensagem do WhatsApp, mas apenas SMS, tem um perfil de risco diferente de um que é alcançável em todos os canais.

Juntamente com a verificação telefônica, o fluxo de trabalho composable da Didit permite que você adicione camadas:

• Análise de IP (US$ 0,03) — detecção de VPN/proxy/Tor, consistência IP-país, pontuação de risco de fraude.
• Detecção de Liveness Passiva (US$ 0,10) — uma verificação de liveness biométrica de menos de 2 segundos que verifica se o usuário é real e presente, não uma foto estática.
• Face Match 1:1 (US$ 0,05) — compara a captura ao vivo com o retrato registrado desde a integração.
• Autenticação Biométrica (US$ 0,10) — uma verificação completa em etapas que reproduz a correspondência biométrica sob demanda para ações sensíveis da conta.

Tudo isso se combina em um único fluxo de trabalho sem código configurado na Business Console. O gatilho de etapa — qual pontuação de risco ou tipo de ação escala para biometria — é uma configuração do Workflow Builder, não uma alteração de código.

Casos de uso

Segurança de contas Neobank e EMI — solicitações de saque de alto valor e novas adições de beneficiários são os momentos de maior risco em uma conta financeira. A biometria em etapas nesses pontos fecha a janela que as trocas de SIM exploram.

Recuperação de conta de exchange de criptomoedas — os fluxos de recuperação de conta são o caminho mais explorado na ATO de exchange de criptomoedas. Exigir uma correspondência biométrica durante a recuperação de conta torna o fluxo à prova de troca de SIM.

Gerenciamento de contas de iGaming — mudanças de método de depósito e solicitações de saque são especificamente visadas na ATO de jogos porque os pagamentos são rápidos e muitas vezes irreversíveis. A verificação em etapas nesses pontos de contato é uma expectativa regulatória em mercados licenciados.

Mercados de consumo com métodos de pagamento armazenados — plataformas que armazenam credenciais de pagamento para contas de comprador e vendedor precisam de verificação em etapas quando um usuário altera sua conta bancária de pagamento — um objetivo comum na tomada de conta.

Perguntas frequentes

Quanto custa a verificação telefônica?

O preço da verificação telefônica da Didit é variável e depende do canal de entrega e do volume. A Análise de IP custa US$ 0,03; a Detecção de Liveness Passiva custa US$ 0,10; a Autenticação Biométrica custa US$ 0,10. Todos incluem 500 verificações gratuitas por mês sem mínimos.

A verificação telefônica previne todos os ataques de troca de SIM?

A verificação telefônica sozinha não — um atacante que já realizou uma troca de SIM recebe a OTP. A defesa vem da combinação de inteligência telefônica, sinais de dispositivo e biometria em etapas para que a entrega da OTP não seja a verificação final.

Qual é a diferença entre Detecção de Liveness Passiva e Autenticação Biométrica?

A Detecção de Liveness Passiva (US$ 0,10) verifica se o usuário é real e presente na integração. A Autenticação Biométrica (US$ 0,10) executa uma comparação facial com liveness correspondente ao retrato registrado para verificação em etapas no meio da sessão — a verificação que impede a ATO em pontos de ação sensíveis.

Um atacante pode burlar a biometria em etapas?

Uma biometria em etapas exige o rosto ao vivo do usuário legítimo. Um atacante de troca de SIM tem o número de telefone, não o rosto. A Detecção de Liveness Passiva com mais de 200 sinais de fraude e a certificação iBeta Nível 1 PAD da Didit (0% IAPAR / 360 ataques) é projetada para detectar ataques de apresentação — fotos, vídeos, máscaras — no portão de verificação em etapas.

Isso funciona para reverificação no meio da sessão?

Sim. O mecanismo AWAITING_USER da Didit — emprestado do motor de Monitoramento de Transações — pode pausar uma ação sensível, acionar uma biometria em etapas e retomar a ação automaticamente assim que o usuário a aprovar.

Pronto para começar?

A verificação telefônica, Análise de IP, Detecção de Liveness Passiva e Autenticação Biométrica são todos módulos composable na plataforma unificada de identidade e fraude da Didit — configure-os juntos no Workflow Builder sem escrever código de integração adicional.

• Leia a documentação → docs.didit.me
• Veja na plataforma → Página do produto Verificação de Usuário
• Verifique o preço → Preços — 500 verificações gratuitas/mês, sem mínimos
• Comece grátis → business.didit.me