Quando o golpe começa com um “sem sinal”

Você olha o celular: sem serviço. Reinicia, coloca em modo avião, tira e põe o chip… nada. Parece problema da operadora. Só que, em minutos, começam a chegar e-mails: “seu e-mail foi alterado”, “sua senha foi redefinida”, “novo login detectado”.

Esse é o roteiro clássico do SIM swap: alguém convence (ou corrompe) a operadora a transferir o seu número para outro chip. A partir daí, qualquer conta que ainda aceite SMS como recuperação/2FA vira uma porta de entrada.

O que é SIM swap (sem romance)

  • Objetivo: tomar seu número de telefone.
  • Como conseguem: engenharia social na operadora, vazamentos de dados, ou insider.
  • Por que funciona: porque muitos serviços ainda usam SMS para reset de senha e como “backup” de 2FA.

Como o ataque costuma acontecer (linha do tempo)

  1. O atacante coleta dados (nome, CPF, e-mail, endereço, últimos dígitos do cartão, etc.).
  2. Solicita a portabilidade/2ª via do chip e faz o número “migrar”.
  3. Usa o SMS para redefinir senha em serviços críticos (e-mail, banco, PayPal/fintech, redes sociais).
  4. Entra nas contas usando SMS como método alternativo, mesmo quando você configurou app autenticador.

O ponto fraco real: SMS como “backup”

Muita gente faz “o certo”: ativa app autenticador. Mas muitos serviços mantêm SMS como fallback. Na prática, o atacante não precisa quebrar o seu autenticador — ele só precisa forçar o caminho mais fraco que o serviço oferece.

Defesa em camadas: o que funciona na vida real

1) Trave o e-mail (porque ele é a chave mestra)

  • Ative 2FA forte no e-mail (preferencialmente chave de segurança/FIDO2).
  • Remova SMS como método de recuperação, se possível.
  • Revise e limpe: telefones e e-mails de recuperação antigos, dispositivos conectados e apps com acesso.

2) Onde der, troque SMS por FIDO2 ou TOTP

  • Melhor: chaves de segurança (YubiKey, Titan, etc.) ou passkeys.
  • Bom: TOTP em app autenticador (Aegis, 2FAS, Google Authenticator, etc.).
  • Evite: SMS para 2FA e para recuperação de senha.

3) Se você não consegue remover SMS, reduza o estrago

  • Use um PIN de portabilidade ou “senha de atendimento” na operadora.
  • Ative alertas (e-mail/app) para mudanças de senha e novos logins.
  • Em bancos/fintechs, prefira apps que exigem aprovação no próprio aplicativo (push) ou dispositivo confiável.
  • Tenha um plano de emergência: números da operadora, banco e e-mail prontos para bloquear rápido.

Checklist rápido (10 minutos hoje)

  • [ ] Conferi meu e-mail principal: 2FA forte + métodos de recuperação enxutos.
  • [ ] Removi SMS como backup onde foi possível.
  • [ ] Ativei PIN/senha de portabilidade na operadora.
  • [ ] Ativei alertas de login e troca de senha em contas críticas.
  • [ ] Separei uma lista offline com contatos e procedimentos de bloqueio (operadora/banco/e-mail).

Se acontecer: o que fazer nas primeiras 30–60 minutos

  1. Ligue para a operadora imediatamente e peça bloqueio/recuperação do número.
  2. Troque a senha do e-mail a partir de um dispositivo confiável e revogue sessões.
  3. Congele o financeiro: avise banco/fintech e bloqueie transações.
  4. Revise serviços que usam seu número como recuperação (WhatsApp, redes sociais, marketplaces).

Uma observação inteligente (vinda do Reddit)

Uma discussão no Reddit levanta uma ideia de “engano”: usar números/contas que pareçam com os dígitos expostos (ex.: os 4 últimos do telefone) para dificultar o trabalho do atacante. É criativo, mas não substitui o essencial: tirar o poder do SMS e fortalecer e-mail + autenticação.

Fonte (Reddit)

r/privacy — Potential strategy for defending against a SIM swap attack

Conclusão

SIM swap é menos “hack” e mais processo: exploração de suporte, recuperação fraca e pressa. A boa notícia é que a defesa também é processo — e você consegue reduzir muito o risco com ajustes práticos hoje.

Leia também