Mobile Intelligence. Trusted Data.

Porque é que esta história da Simswap é uma chamada de atenção

Actualmente, existem muitas histórias sobre várias fraudes financeiras – é possível encontrar uma nova praticamente todos os dias. Mas alguns destacam-se e ganham maior tracção, acabando por ser notados por milhões de pessoas.

Uma delas foi a recente história de Charlotte Morgan, uma jovem londrina que, no final de Agosto, foi, como fazia frequentemente, fazer exercício no seu ginásio local em Chiswick, na zona oeste de Londres.

Ao chegar, estava em clima de festa, pois tinha acabado de conseguir um novo emprego. Mas essa alegria depressa se transformou em desespero quando terminou a sessão de treino e se foi embora: a porta do cacifo estava entreaberta e a mochila tinha desaparecido.

Rapidamente descobriu que o mesmo tinha acontecido a outros utilizadores do ginásio: tratava-se de um roubo organizado.

Para além de outros bens, Charlotte perdeu o telemóvel, o cartão bancário e as chaves da porta. Mas o facto de ter ficado trancada fora do seu apartamento e de não ter conseguido libertar a sua bicicleta, que estava acorrentada a um corrimão no exterior, não era a menor das suas preocupações.

Em poucas horas, os ladrões fizeram uma série de despesas em Londres, gastando 3.000 libras só numa loja da Apple e milhares mais noutras lojas.

Quando se apercebeu de que tinha sido alvo deste tipo de ataque – o que não é fácil quando, de repente, se fica sem telefone para comunicar, sem cartão para pagar viagens ou bens e sem poder entrar em casa para aceder a outro equipamento informático – Charlotte ficou, inicialmente, parcialmente tranquila, pois os ladrões só poderiam levar o que tinha na sua conta corrente.

Mas a realidade viria a revelar-se muito pior. Rapidamente se descobriu que os ladrões tinham, de alguma forma, conseguido contornar todas as definições de segurança do seu telemóvel – e tinham assaltado não só a sua conta corrente, mas também as suas poupanças. E em apenas algumas horas tinham levado tudo. Milhares de libras que ela tinha trabalhado arduamente para acumular durante anos tinham sido roubadas. .

Ela ficou compreensivelmente chocada e devastada – mas também perplexa.

Porque nunca lhe tinha ocorrido que, só pelo facto de lhe roubarem o telemóvel, os ladrões pudessem atacá-la tão gravemente, acreditando que ela estava ainda mais protegida por números PIN para activar as aplicações no seu telemóvel.

Só mais tarde é que ela descobriu como o tinham feito.

Charlotte explicou: “Um perito em segurança bancária explicou-me como é provável que a burla tenha acontecido. Quando o ladrão tinha o meu cartão de débito, não precisava do meu smartphone – apenas do cartão SIM, que pode ser retirado do lado e inserido noutro telemóvel.

“Isto ultrapassa a segurança das impressões digitais e o reconhecimento facial. É o equivalente digital de uma janela aberta numa casa.

“Uma vez na minha conta, o ladrão pode redefinir o PIN online e depois alterar todas as minhas palavras-passe de segurança bancária. É extremamente fácil. Acho que o ladrão conseguiu fazê-lo no táxi do ginásio para a primeira loja da Apple.”

É quase certo que foi isso que aconteceu e, se me perguntassem, eu teria dado a mesma explicação.

Trocar Sims entre aparelhos é muito, muito fácil de fazer – com consequências devastadoras.

Nós, na TMT, conseguimos detectar um Sim Swap – como é conhecida esta fraude – porque os padrões de transacção invulgares que inevitavelmente se lhe seguem são um sinal. Quando alguém como a Sra. Morgan tem sido uma poupadora prudente durante um longo período de tempo, podemos ver esse historial anterior – não esperamos vê-la a assaltar a sua conta poupança durante a noite para obter milhares de libras em montantes repetidos – e isso torna-se imediatamente uma bandeira vermelha.

É claro que a Troca de Sim pode ocorrer e ocorre constantemente por razões legítimas. Na semana passada, eu próprio comprei um novo iPhone. Fiz a minha cópia de segurança, mudei o meu Sim para o novo aparelho e ele replicou imediatamente a minha página inicial e os meus contactos antigos. A facilidade com que isto acontece é uma das principais razões pelas quais as pessoas se mantêm com a mesma marca de telemóvel, Apple ou um rival Android, de um contrato para o outro.

Os nossos protocolos de segurança teriam sido capazes de distinguir entre o que aconteceu à Charlotte e o meu inocente interruptor Sim, devido aos diferentes comportamentos que os rodeavam, um inocente, outro nefasto.

No entanto, só podemos monitorizar os dispositivos desta forma se tal nos for solicitado por uma empresa cliente autorizada, quando esta, por sua vez, tiver o consentimento dos utilizadores. Neste caso, o banco de Charlotte não parece estar a utilizar a segurança de backup de uma empresa independente como nós. E isso não é invulgar, uma vez que, na maior parte das vezes, isso acontece apenas no momento em que um cliente se inscreve num novo serviço – o momento da integração, como lhe chamamos.

Começo a interrogar-me se não será altura de empresas como o banco da Charlotte prestarem serviços deste tipo com muito mais frequência. Afinal de contas, cada controlo custa apenas alguns cêntimos e o montante que acabaram por ter de lhe reembolsar teria pago centenas de milhares de medidas preventivas deste tipo.

Mas não é só o custo que impede a utilização mais generalizada destes controlos, há também a questão da privacidade. Embora os clientes estejam habituados a que lhes seja pedido que autorizem verificações no momento da inscrição, que o seu historial de crédito seja investigado, etc., é compreensível que estejam muito mais hesitantes em aceitar que os seus dados sejam verificados de forma mais rotineira e contínua.

Por isso, é possível que ainda demore algum tempo até que existam sistemas permanentes que impeçam os ladrões de visarem a próxima Charlotte Morgan da mesma forma.

Entretanto, talvez a melhor coisa que possa fazer seja proteger-se. Pode fazê-lo definindo um novo número PIN no próprio cartão SIM. Isto evitaria que os ladrões pudessem fazer uma “troca de Sim” sem saber o PIN.

Num iPhone, basta ir a Definições e tocar em “Telefone”. Em seguida, toque em “PIN do SIM” para aceder a esta funcionalidade. Toque em “PIN do SIM” para o activar. O seu SIM virá com um PIN predefinido pelo seu operador móvel, que pode ser substituído.

Espero que isto ajude a curto prazo. A longo prazo, seria bom pensar que o mundo empresarial poderia fazer mais.

Se desejar obter mais informações sobre os serviços de protecção contra a fraude oferecidos pela TMT Analysis, contacte-nos através do endereço info@tmtanalysis.com

Share:

Facebook
Twitter
LinkedIn
Talk to a Product Expert

Related Posts

Want more insights?

Sign up to join our mailing list.

Antes de partir...

Veja o nosso mais recente livro branco, Tackling Mobile Identity Fraud in Financial Services (Combater a fraude de identidade móvel nos serviços financeiros). Os nossos especialistas em produtos estão sempre à disposição para responder a quaisquer perguntas!