A Polônia prendeu quatro membros de uma quadrilha de SIM swap que desviou pelo menos US$ 5 milhões em criptomoedas ao clonar números de telefone de vítimas e interceptar códigos de autenticação por SMS. A operação, conduzida em 25 de junho de 2026 com apoio do FBI, mostra por que o SMS deixou de ser um fator de segurança confiável — e por que o golpe que golpeou investidores europeus também ameaça brasileiros que usam cripto.
Pontos-chave do golpe
- Quatro prisões: o Escritório Central de Combate à Cibercriminalidade da Polônia (CBZC) deteve os suspeitos em 25 de junho de 2026, com apoio do FBI e da Homeland Security Investigations (HSI) dos Estados Unidos, segundo a BleepingComputer.
- Pelo menos US$ 5 milhões roubados: investigadores estimam que dezenas de milhões de zlotys poloneses foram lavados por uma rede distribuída de contas bancárias e carteiras digitais, conforme a CoinInsider.
- Método: a quadrilha invadiu sistemas de empresas parceiras de operadoras de telecomunicações, clonou números de telefone e interceptou códigos SMS para tomar contas em corretoras de criptomoedas.
- Pena máxima de 25 anos: os suspeitos responderão por participação em organização criminosa, invasão de sistemas e lavagem de dinheiro.
- Um nome revelado: o investigador blockchain ZachXBT identificou um dos detidos como Wojtek Kulisz, conhecido pelo apelido “Merry”, embora as autoridades polonesas não tenham confirmado a identidade, segundo a The Block.
O ataque passo a passo
A quadrilha não invadiu diretamente as corretoras de criptomoedas. O relato das autoridades descreve uma cadeia mais sofisticada: os criminosos primeiro comprometeram a infraestrutura de empresas que prestam serviços às operadoras de telecomunicações. Usaram software especializado e engenharia social para invadir contas de e-mail de funcionários e acessar sistemas internos, conforme o comunicado do CBZC reproduzido pela BleepingComputer.
Com esse acesso, clonaram e sequestraram números de telefone das vítimas. A partir desse momento, todos os SMS destinados ao número original — incluindo códigos de verificação e mensagens de recuperação de senha — chegavam aos atacantes. Eles redefiniam senhas em corretoras de criptomoedas, transferiam os ativos e lavavam o dinheiro por uma rede de contas pessoais na Polônia e no exterior, plataformas de pagamento internacionais e carteiras multicorrente, segundo a CoinInsider.
O caso corre no Ministério Público Regional de Cracóvia. Todos os quatro suspeitos foram colocados em prisão preventiva a pedido dos promotores. O órgão descreveu a atividade criminosa como “uma fonte regular de renda” do grupo.
Como funciona o SIM swap
O SIM swap — também chamado de sequestro de chip, port-out fraud ou SIM jacking — explora uma fragilidade estrutural dos serviços de atendimento das operadoras. O modelo de segurança assume que o número de telefone pertence ao dono do chip. Quando o atacante consegue transferir esse número para um chip que ele controla, toda a verificação baseada em SMS passa para as mãos dele, segundo um guia técnico da Message Central.
O ataque costuma seguir quatro etapas:
- Reconhecimento: o criminoso coleta dados pessoais da vítima — nome completo, data de nascimento, endereço, últimos dígitos de documentos. Fontes comuns incluem vazamentos de dados, perfis em redes sociais e bases de credenciais vazadas.
- Engenharia social na operadora: o atacante liga para o atendimento, finge ser a vítima e convence o atendente a transferir a linha para um novo chip, alegando perda ou roubo do aparelho.
- Sequestro do número: a partir desse instante, o criminoso recebe todos os códigos SMS — incluindo os de autenticação em duas etapas de bancos, e-mails e corretoras.
- Tomada de contas: com os códigos em mãos, ele redefiniu senhas, responde a desafios de recuperação e esvazia contas em minutos.
O sinal de alerta mais comum é a perda repentina de sinal: a vítima percebe que o celular fica sem rede, sem poder fazer ou receber chamadas. Isso significa que a linha foi transferida para outro chip — e provavelmente já está sendo usada para interceptar mensagens.
Por que o SMS falha
A decisão da FCC (Comissão Federal de Comunicações dos Estados Unidos) de adotar regras formais contra SIM swap e port-out fraud em dezembro de 2023 reconheceu oficialmente a gravidade do problema. O regulamento exige que as operadoras autentiquem os pedidos de transferência de número antes de concluí-los, conforme o texto publicado no Federal Register.
A regra é clara: a autenticação por SMS não oferece proteção segura contra esse tipo de fraude. O texto oficial do regulamento americano afirma que permitir que operadoras usem autenticação baseada em SMS “não cria porto seguro” para esse método. Em outras palavras: SMS não é um segundo fator de segurança robusto. É um serviço de mensagens que pode ser desviado.
O problema é que bilhões de contas no mundo — incluindo bancos brasileiros, corretoras de criptomoedas e serviços de e-mail — ainda dependem do SMS como segunda camada de segurança. Quem tem criptomoedas e usa verificação por SMS está, na prática, a um golpe de engenharia social de perder tudo.
O risco real para o brasileiro
O Brasil é um dos maiores mercados de criptomoedas do mundo e também um dos mais afetados por fraudes de engenharia social. A quadrilha presa na Polônia operava de forma semelhante a quadrilhas brasileiras que já usam golpes de voz e phishing para roubar acessos bancários e de investimento.
O governo federal lançou o serviço Celular Seguro, integrado ao Gov.br, que permite cadastrar aparelhos e pessoas de confiança. Em caso de roubo, um único alerta bloqueia o IMEI na Anatel e notifica bancos e instituições — uma ferramenta útil, mas que não cobre o cenário do SIM swap, onde o chip é clonado sem roubo físico do aparelho.
A receita é a mesma no mundo inteiro: quem tem saldo expressivo em criptomoedas é alvo preferencial, porque as transações blockchain são irreversíveis. Diferente de um roubo em conta bancária — onde ainda há alguma chance de estorno —, a criptomoeda transferida para uma carteira controlada pelo criminoso raramente volta.
Como se proteger agora
A defesa contra o SIM swap não é única — é em camadas. A primeira e mais importante: pare de usar SMS como segundo fator de autenticação em qualquer conta que envolva dinheiro, criptomoedas ou e-mail. Abraçar a autenticação resistente ao phishing é o que separa quem perde tudo de quem não perde nada.
Comparação de métodos de autenticação
| Método | Vulnerável ao SIM swap? | Recomendação |
|---|---|---|
| SMS (código por texto) | Sim — o atacante intercepta a mensagem | Evite para contas financeiras |
| App autenticador (Google, Authy, 2FAS) | Não — códigos gerados no aparelho | Use sempre que disponível |
| Chave física de segurança (YubiKey, Titan) | Não — exige toque físico no dispositivo | Ideal para grandes saldos em cripto |
| Passkeys (chaves de acesso) | Não — vinculadas ao dispositivo com biometria | Migre assim que o serviço suportar |
Além do aplicativo autenticador ou da chave física, quatro hábitos reduzem drasticamente o risco:
- Senha numérica na operadora: ative um PIN de segurança junto à sua operadora para qualquer transferência de linha. Sem esse código, nenhum atendimento deve autorizar a troca de chip.
- E-mail dedicado: use um endereço de e-mail exclusivo para contas de corretora e banco, nunca reutilizado em redes sociais ou cadastros comuns.
- Alerta de perda de sinal: se seu celular ficar sem rede do nada, ligue imediatamente para a operadora e para o banco. Cada minuto conta.
- Cofre de recuperação: guarde os códigos de backup do autenticador em local offline. Sem eles, perder o aparelho significa perder o acesso — e abrir brecha para golpe.
O que a operação polonesa ensinou
A prisão da quadrilha mostra que autoridades internacionais estão coordenando ações contra o SIM swap — mas também revela a escala do problema. Quatro pessoas, atuando como “fonte regular de renda”, conseguiram desviar milhões invadindo sistemas de parceiros de telecom. A fragilidade não estava nas vítimas, mas na cadeia de confiança entre operadoras, parceiros e plataformas financeiras.
Para o leitor brasileiro, a lição é direta: a prisão dos criminosos não devolve o dinheiro roubado. A proteção real acontece antes do golpe — no momento em que você decide abandonar o SMS como segundo fator e adotar um autenticador ou uma chave física. Enquanto bilhões de contas seguem dependendo de uma mensagem de texto, o SIM swap continuará sendo um dos golpes mais lucrativos da cibercriminalidade.
Referências
- BleepingComputer — Poland busts SIM-swapping gang tied to millions in crypto theft
- CoinInsider — Polish Police Nab Four in FBI-Backed Crypto SIM-Swap Crackdown
- The Block — Four arrested in Poland over crypto SIM-swap attacks; ZachXBT alleges ‘Merry’ is among them
- Message Central — SIM Swap Attack Protection for OTP: Detection and Defense
- Federal Register — Protecting Consumers from SIM-Swap and Port-Out Fraud (FCC)