A Prevenção da Fraude de Troca de Cartão SIM: Como a Verificação Telefónica Trava a Tomada de Contas (PT-PT)

Um ataque de troca de cartão SIM é uma técnica de tomada de conta onde um fraudador convence uma operadora móvel a transferir o número de telefone de uma vítima para um cartão SIM controlado pelo atacante. Uma vez que detêm o número, cada código de uso único (OTP) por SMS enviado para esse número — para login, redefinição de palavra-passe, ou aprovação de transação — chega às suas mãos, e não às do titular legítimo da conta.

O ataque é particularmente eficaz porque derrota a camada de autenticação que a maioria dos utilizadores e muitas plataformas acreditam ser segura. Compreender como funcionam as trocas de cartão SIM, porque os OTPs por SMS sozinhos são insuficientes, e como aplicar controlos mais fortes é a base de uma defesa eficaz contra a tomada de contas (ATO).

Principais conclusões

• Uma troca de cartão SIM transfere o número de telefone de uma vítima para um SIM controlado por um atacante, através de engenharia social junto da equipa de apoio ao cliente de uma operadora móvel.
• Uma vez que um atacante detém o número, pode receber OTPs por SMS (códigos de uso único) para login, redefinição de palavra-passe e confirmação de transações em nome da vítima.
• O OTP por SMS sozinho não é um fator de autenticação suficiente para contas de alto valor — é vulnerável a trocas de cartão SIM, interceção SS7 e ataques de phishing de OTP.
• A combinação da verificação telefónica com sinais de dispositivo e IP, e a exigência de uma autenticação biométrica avançada para ações sensíveis, fecha a superfície de ataque que o OTP por SMS deixa aberta.
• A Didit fornece verificação telefónica multicanal (SMS, WhatsApp, Telegram, RCS, voz) juntamente com Análise de IP (0,03€), Deteção de Vida Passiva (0,10€) e Autenticação Biométrica (0,10€) que se combinam numa pilha de autenticação avançada.

Como funciona um ataque de troca de cartão SIM

A sequência de ataque é simples:

1. Seleção do alvo — o atacante identifica uma vítima, tipicamente através de registos de violação de dados ou pesquisa em redes sociais, e confirma o número de telefone associado à sua conta.
2. Impersonificação da operadora — o atacante liga para a operadora móvel da vítima, fingindo ser o titular da conta. Usando informações de identificação pessoal (PII) recolhidas de dados de violação ou fontes públicas, solicita uma transferência de SIM — "Perdi o meu telefone e preciso de ativar o meu número neste SIM."
3. Número portado — a operadora, incapaz de distinguir o fraudador do cliente legítimo, completa a transferência. O telefone da vítima perde o serviço; o SIM do atacante recebe todas as chamadas e SMS.
4. Tomada de conta — o atacante aciona uma redefinição de palavra-passe na plataforma alvo. O OTP por SMS chega ao seu dispositivo. Define uma nova palavra-passe e controla a conta.

A vítima geralmente só percebe quando o seu telefone perde o serviço inesperadamente ou recebe alertas para ações que não realizou — muitas vezes depois de o dano já estar feito.

Porque o OTP por SMS não é suficiente por si só

O OTP por SMS foi concebido como um segundo fator que assume que um número de telefone está seguramente associado a uma única pessoa. A troca de cartão SIM quebra essa suposição ao nível da operadora, fora do controlo da plataforma. Mas não é a única fraqueza:

Vulnerabilidades do protocolo SS7 — o protocolo Signaling System 7 (SS7) que encaminha o tráfego telefónico globalmente tem vulnerabilidades documentadas que permitem a atores sofisticados intercetar mensagens SMS em trânsito sem acesso físico ao SIM.

Phishing de OTP — kits de phishing em tempo real fazem proxy de um fluxo de autenticação, extraindo o OTP que a vítima insere no site falso do atacante e reproduzindo-o contra a plataforma real dentro da janela de validade do OTP.

Criação de SIMs — anéis de fraude organizados operam grandes inventários de cartões SIM registados sob identidades sintéticas, usando-os para receber OTPs para contas que já comprometeram através de credential-stuffing.

O padrão é consistente: qualquer sistema que trate o OTP por SMS como a verificação de segurança terminal tem um único ponto de falha que pode ser contornado sem tocar nos próprios controlos de segurança da plataforma.

A pilha de defesa: camadas que trabalham em conjunto

A defesa eficaz contra a troca de cartão SIM não é um controlo único — é uma pilha de sinais e etapas de verificação que torna o ataque antieconómico em cada fase.

Camada 1: Inteligência telefónica no registo

Antes de emitir um OTP, recolha informações sobre o próprio número de telefone. Sinais úteis incluem:

• Tipo de linha: é um número móvel ou um número VoIP (Voice over IP)? Os números VoIP podem ser provisionados instantaneamente sem verificação da operadora e são comummente usados em operações de fraude.
• Operadora e país: a operadora corresponde ao país declarado pelo utilizador? Um número registado numa operadora num país que o utilizador não declarou é algo a assinalar.
• Capacidade de alcance: o OTP pode realmente ser entregue? A entrega multicanal — SMS, WhatsApp, Telegram, RCS ou voz — testa a capacidade de alcance, ao mesmo tempo que dá opções ao utilizador.

Estes sinais estão disponíveis antes de enviar um único OTP. Permitem-lhe aplicar controlos mais rigorosos a números de maior risco sem afetar a experiência dos utilizadores legítimos.

Camada 2: Sinais de dispositivo e IP juntamente com o OTP

A Análise de IP a 0,03€ adiciona contexto que a inteligência telefónica por si só não pode fornecer: o IP é consistente com a localização declarada do dispositivo? A ligação vem de uma VPN, proxy ou nó de saída Tor? Este IP foi associado a tentativas de fraude anteriores?

Uma troca de cartão SIM tipicamente coincide com uma nova sessão de dispositivo — o atacante tem um dispositivo diferente do que o utilizador legítimo alguma vez usou. A impressão digital do dispositivo que rastreia a consistência da sessão (tipo de dispositivo, impressão digital do navegador/aplicação, fuso horário, configurações de idioma) pode sinalizar um dispositivo de primeira vez a aceder a uma conta de alto valor durante uma ação sensível, mesmo antes de o OTP ser concluído.

Camada 3: Autenticação biométrica avançada para ações sensíveis

O controlo mais forte para momentos de alto risco — grandes levantamentos, novos métodos de pagamento, recuperação de conta, alterações de endereço — é uma autenticação biométrica avançada que exige que o utilizador realize uma verificação de vida que corresponda à sua biometria registada.

Uma autenticação biométrica avançada não é algo que um atacante de troca de cartão SIM pode satisfazer. Eles têm o número de telefone; não têm o rosto. A Deteção de Vida Passiva a 0,10€ e a Autenticação Biométrica a 0,10€ são as verificações que impedem a tomada de conta no ponto em que causaria o maior dano.

O princípio é o atrito proporcional: sessões de baixo risco prosseguem normalmente; ações de alto risco acionam uma verificação biométrica rápida e nativa móvel que o utilizador legítimo mal nota, mas que o atacante não consegue passar.

Como a Didit ajuda

A verificação telefónica da Didit entrega OTPs através de múltiplos canais — SMS, WhatsApp, Telegram, RCS e voz — encontrando os utilizadores onde eles estão e fornecendo flexibilidade de entrega que o SMS de canal único não consegue igualar. A entrega multicanal também testa a capacidade de alcance do número em diferentes protocolos: um número que não consegue receber uma mensagem WhatsApp, mas apenas SMS, tem um perfil de risco diferente de um que é acessível em todos os canais.

Juntamente com a verificação telefónica, o fluxo de trabalho componível da Didit permite-lhe adicionar camadas:

• Análise de IP (0,03€) — deteção de VPN/proxy/Tor, consistência IP-país, pontuação de risco de fraude.
• Deteção de Vida Passiva (0,10€) — uma verificação biométrica de vida com menos de 2 segundos que verifica se o utilizador é real e presente, e não uma foto estática.
• Correspondência Facial 1:1 (0,05€) — compara a captura ao vivo com o retrato registado no onboarding.
• Autenticação Biométrica (0,10€) — uma verificação completa de autenticação avançada que reproduz a correspondência biométrica sob demanda para ações de conta sensíveis.

Tudo isto se combina num único fluxo de trabalho sem código configurado na Consola de Negócios. O gatilho de autenticação avançada — que pontuação de risco ou tipo de ação escala para biometria — é uma configuração do Workflow Builder, não uma alteração de código.

Casos de uso

Segurança de contas Neobank e EMI — pedidos de levantamento de alto valor e adição de novos beneficiários são os momentos de maior risco numa conta financeira. A autenticação biométrica avançada nestes pontos fecha a janela que as trocas de cartão SIM exploram.

Recuperação de conta de câmbio de criptomoedas — os fluxos de recuperação de conta são o caminho mais explorado na tomada de contas de câmbio de criptomoedas. Exigir uma correspondência biométrica durante a recuperação de conta torna o fluxo à prova de troca de cartão SIM.

Gestão de contas de iGaming — as alterações de método de depósito e os pedidos de levantamento são visados especificamente na tomada de contas de jogos, porque os pagamentos são rápidos e muitas vezes irreversíveis. A verificação avançada nestes pontos de contacto é uma expectativa regulamentar em mercados licenciados.

Mercados de consumo com métodos de pagamento armazenados — plataformas que armazenam credenciais de pagamento para contas de comprador e vendedor precisam de verificação avançada quando um utilizador altera a sua conta bancária de pagamento — um objetivo comum na tomada de contas.

Perguntas frequentes

Quanto custa a verificação telefónica?

O preço da verificação telefónica da Didit é variável e depende do canal de entrega e do volume. A Análise de IP custa 0,03€; a Deteção de Vida Passiva custa 0,10€; a Autenticação Biométrica custa 0,10€. Todos incluem 500 verificações gratuitas por mês, sem mínimos.

A verificação telefónica impede todos os ataques de troca de cartão SIM?

A verificação telefónica por si só não — um atacante que já completou uma troca de cartão SIM recebe o OTP. A defesa vem da combinação de inteligência telefónica, sinais de dispositivo e autenticação biométrica avançada para que a entrega de OTP não seja a verificação terminal.

Qual a diferença entre Deteção de Vida Passiva e Autenticação Biométrica?

A Deteção de Vida Passiva (0,10€) verifica se o utilizador é real e presente no onboarding. A Autenticação Biométrica (0,10€) executa uma comparação facial com correspondência de vida contra o retrato registado para autenticação avançada no meio da sessão — a verificação que impede a tomada de conta em pontos de ação sensíveis.

Um atacante pode derrotar a autenticação biométrica avançada?

Uma autenticação biométrica avançada exige o rosto ao vivo do utilizador legítimo. Um atacante de troca de cartão SIM tem o número de telefone, não o rosto. A Deteção de Vida Passiva com mais de 200 sinais de fraude e a certificação iBeta Nível 1 PAD da Didit (0% IAPAR / 360 ataques) foi concebida para detetar ataques de apresentação — fotos, vídeos, máscaras — na entrada da autenticação avançada.

Isto funciona para reverificação no meio da sessão?

Sim. O mecanismo AWAITING_USER da Didit — emprestado do motor de Monitorização de Transações — pode pausar uma ação sensível, acionar uma autenticação biométrica avançada e retomar a ação automaticamente assim que o utilizador a aprova.

Pronto para começar?

A verificação telefónica, Análise de IP, Deteção de Vida Passiva e Autenticação Biométrica são todos módulos componíveis na plataforma unificada de identidade e fraude da Didit — configure-os em conjunto no Workflow Builder sem escrever código de integração adicional.

• Leia a documentação → docs.didit.me
• Veja na plataforma → Página do produto Verificação de Utilizador
• Verifique o preço → Preços — 500 verificações gratuitas/mês, sem mínimos
• Comece gratuitamente → business.didit.me