A Polônia prendeu quatro membros de uma quadrilha de SIM swap que desviou pelo menos US$ 5 milhões em criptomoedas ao clonar números de telefone de vítimas e interceptar códigos de autenticação por SMS. A operação, conduzida em 25 de junho de 2026 com apoio do FBI, mostra por que o SMS deixou de ser um fator de segurança confiável — e por que o golpe que golpeou investidores europeus também ameaça brasileiros que usam cripto.

Pontos-chave do golpe

  • Quatro prisões: o Escritório Central de Combate à Cibercriminalidade da Polônia (CBZC) deteve os suspeitos em 25 de junho de 2026, com apoio do FBI e da Homeland Security Investigations (HSI) dos Estados Unidos, segundo a BleepingComputer.
  • Pelo menos US$ 5 milhões roubados: investigadores estimam que dezenas de milhões de zlotys poloneses foram lavados por uma rede distribuída de contas bancárias e carteiras digitais, conforme a CoinInsider.
  • Método: a quadrilha invadiu sistemas de empresas parceiras de operadoras de telecomunicações, clonou números de telefone e interceptou códigos SMS para tomar contas em corretoras de criptomoedas.
  • Pena máxima de 25 anos: os suspeitos responderão por participação em organização criminosa, invasão de sistemas e lavagem de dinheiro.
  • Um nome revelado: o investigador blockchain ZachXBT identificou um dos detidos como Wojtek Kulisz, conhecido pelo apelido “Merry”, embora as autoridades polonesas não tenham confirmado a identidade, segundo a The Block.

O ataque passo a passo

A quadrilha não invadiu diretamente as corretoras de criptomoedas. O relato das autoridades descreve uma cadeia mais sofisticada: os criminosos primeiro comprometeram a infraestrutura de empresas que prestam serviços às operadoras de telecomunicações. Usaram software especializado e engenharia social para invadir contas de e-mail de funcionários e acessar sistemas internos, conforme o comunicado do CBZC reproduzido pela BleepingComputer.

Com esse acesso, clonaram e sequestraram números de telefone das vítimas. A partir desse momento, todos os SMS destinados ao número original — incluindo códigos de verificação e mensagens de recuperação de senha — chegavam aos atacantes. Eles redefiniam senhas em corretoras de criptomoedas, transferiam os ativos e lavavam o dinheiro por uma rede de contas pessoais na Polônia e no exterior, plataformas de pagamento internacionais e carteiras multicorrente, segundo a CoinInsider.

O caso corre no Ministério Público Regional de Cracóvia. Todos os quatro suspeitos foram colocados em prisão preventiva a pedido dos promotores. O órgão descreveu a atividade criminosa como “uma fonte regular de renda” do grupo.

Como funciona o SIM swap

O SIM swap — também chamado de sequestro de chip, port-out fraud ou SIM jacking — explora uma fragilidade estrutural dos serviços de atendimento das operadoras. O modelo de segurança assume que o número de telefone pertence ao dono do chip. Quando o atacante consegue transferir esse número para um chip que ele controla, toda a verificação baseada em SMS passa para as mãos dele, segundo um guia técnico da Message Central.

O ataque costuma seguir quatro etapas:

  1. Reconhecimento: o criminoso coleta dados pessoais da vítima — nome completo, data de nascimento, endereço, últimos dígitos de documentos. Fontes comuns incluem vazamentos de dados, perfis em redes sociais e bases de credenciais vazadas.
  2. Engenharia social na operadora: o atacante liga para o atendimento, finge ser a vítima e convence o atendente a transferir a linha para um novo chip, alegando perda ou roubo do aparelho.
  3. Sequestro do número: a partir desse instante, o criminoso recebe todos os códigos SMS — incluindo os de autenticação em duas etapas de bancos, e-mails e corretoras.
  4. Tomada de contas: com os códigos em mãos, ele redefiniu senhas, responde a desafios de recuperação e esvazia contas em minutos.

O sinal de alerta mais comum é a perda repentina de sinal: a vítima percebe que o celular fica sem rede, sem poder fazer ou receber chamadas. Isso significa que a linha foi transferida para outro chip — e provavelmente já está sendo usada para interceptar mensagens.

Por que o SMS falha

A decisão da FCC (Comissão Federal de Comunicações dos Estados Unidos) de adotar regras formais contra SIM swap e port-out fraud em dezembro de 2023 reconheceu oficialmente a gravidade do problema. O regulamento exige que as operadoras autentiquem os pedidos de transferência de número antes de concluí-los, conforme o texto publicado no Federal Register.

A regra é clara: a autenticação por SMS não oferece proteção segura contra esse tipo de fraude. O texto oficial do regulamento americano afirma que permitir que operadoras usem autenticação baseada em SMS “não cria porto seguro” para esse método. Em outras palavras: SMS não é um segundo fator de segurança robusto. É um serviço de mensagens que pode ser desviado.

O problema é que bilhões de contas no mundo — incluindo bancos brasileiros, corretoras de criptomoedas e serviços de e-mail — ainda dependem do SMS como segunda camada de segurança. Quem tem criptomoedas e usa verificação por SMS está, na prática, a um golpe de engenharia social de perder tudo.

O risco real para o brasileiro

O Brasil é um dos maiores mercados de criptomoedas do mundo e também um dos mais afetados por fraudes de engenharia social. A quadrilha presa na Polônia operava de forma semelhante a quadrilhas brasileiras que já usam golpes de voz e phishing para roubar acessos bancários e de investimento.

O governo federal lançou o serviço Celular Seguro, integrado ao Gov.br, que permite cadastrar aparelhos e pessoas de confiança. Em caso de roubo, um único alerta bloqueia o IMEI na Anatel e notifica bancos e instituições — uma ferramenta útil, mas que não cobre o cenário do SIM swap, onde o chip é clonado sem roubo físico do aparelho.

A receita é a mesma no mundo inteiro: quem tem saldo expressivo em criptomoedas é alvo preferencial, porque as transações blockchain são irreversíveis. Diferente de um roubo em conta bancária — onde ainda há alguma chance de estorno —, a criptomoeda transferida para uma carteira controlada pelo criminoso raramente volta.

Como se proteger agora

A defesa contra o SIM swap não é única — é em camadas. A primeira e mais importante: pare de usar SMS como segundo fator de autenticação em qualquer conta que envolva dinheiro, criptomoedas ou e-mail. Abraçar a autenticação resistente ao phishing é o que separa quem perde tudo de quem não perde nada.

Comparação de métodos de autenticação

Método Vulnerável ao SIM swap? Recomendação
SMS (código por texto) Sim — o atacante intercepta a mensagem Evite para contas financeiras
App autenticador (Google, Authy, 2FAS) Não — códigos gerados no aparelho Use sempre que disponível
Chave física de segurança (YubiKey, Titan) Não — exige toque físico no dispositivo Ideal para grandes saldos em cripto
Passkeys (chaves de acesso) Não — vinculadas ao dispositivo com biometria Migre assim que o serviço suportar

Além do aplicativo autenticador ou da chave física, quatro hábitos reduzem drasticamente o risco:

  • Senha numérica na operadora: ative um PIN de segurança junto à sua operadora para qualquer transferência de linha. Sem esse código, nenhum atendimento deve autorizar a troca de chip.
  • E-mail dedicado: use um endereço de e-mail exclusivo para contas de corretora e banco, nunca reutilizado em redes sociais ou cadastros comuns.
  • Alerta de perda de sinal: se seu celular ficar sem rede do nada, ligue imediatamente para a operadora e para o banco. Cada minuto conta.
  • Cofre de recuperação: guarde os códigos de backup do autenticador em local offline. Sem eles, perder o aparelho significa perder o acesso — e abrir brecha para golpe.

O que a operação polonesa ensinou

A prisão da quadrilha mostra que autoridades internacionais estão coordenando ações contra o SIM swap — mas também revela a escala do problema. Quatro pessoas, atuando como “fonte regular de renda”, conseguiram desviar milhões invadindo sistemas de parceiros de telecom. A fragilidade não estava nas vítimas, mas na cadeia de confiança entre operadoras, parceiros e plataformas financeiras.

Para o leitor brasileiro, a lição é direta: a prisão dos criminosos não devolve o dinheiro roubado. A proteção real acontece antes do golpe — no momento em que você decide abandonar o SMS como segundo fator e adotar um autenticador ou uma chave física. Enquanto bilhões de contas seguem dependendo de uma mensagem de texto, o SIM swap continuará sendo um dos golpes mais lucrativos da cibercriminalidade.

Referências