O que é o golpe do SIM Swap
O SIM Swap, também chamado de clonagem de chip, é uma fraude em que criminosos convencem uma operadora de telefonia a transferir o número de um cliente legítimo para um chip sob controle dos golpistas. A partir daí, todos os SMS enviados para aquele número — incluindo códigos de autenticação de dois fatores — chegam ao fraudador, não à vítima.
No Brasil, o golpe cresceu junto com a expansão dos serviços financeiros digitais. Com acesso ao número da vítima, o criminoso consegue redefinir senhas de contas bancárias, acessar aplicativos de pagamento e realizar transferências via Pix em questão de minutos. A vítima só percebe o problema quando o celular perde o sinal e a conta já foi esvaziada.
Como o golpe funciona na prática
O ataque começa muito antes da ligação para a operadora. Primeiro, os criminosos coletam dados pessoais da vítima: nome completo, CPF, data de nascimento, endereço. Essas informações são obtidas em vazamentos de dados, perfis públicos em redes sociais ou via engenharia social.
Com os dados em mãos, o golpista entra em contato com a operadora de telefonia. Pode ser por telefone, pelo chat do aplicativo ou até presencialmente em uma loja, usando documentos falsos. O objetivo é convencer o atendente de que é o titular da linha e solicitar a portabilidade para um chip novo.
Uma vez com o número ativo no chip deles, os passos seguintes são rápidos:
- Acessar o e-mail da vítima pedindo redefinição de senha via SMS
- Entrar no aplicativo do banco usando o recurso de “esqueci minha senha”
- Confirmar a identidade com o código enviado por SMS que chega ao chip dos fraudadores
- Realizar transferências, saques ou solicitar empréstimos
- Tomar o controle de contas em redes sociais e aplicativos de mensagens
Números que preocupam
Dados da Anatel e do setor de cibersegurança apontam que o Brasil registra milhares de casos de SIM Swap por ano, com concentração nos estados de maior densidade populacional. O prejuízo médio por vítima supera cinco mil reais, mas casos envolvendo contas com saldo mais elevado podem chegar a centenas de milhares de reais perdidos em uma única operação.
O problema tem uma dimensão estrutural: as operadoras de telefonia são o elo mais fraco da cadeia. Os protocolos de verificação de identidade variam muito entre empresas e entre canais de atendimento. Um atendente de chat pode aceitar informações que outro exigiria confirmar presencialmente.
Grupos mais vulneráveis
Qualquer pessoa com um número de celular registrado em seu CPF está em risco, mas alguns grupos são alvos preferenciais:
- Pessoas com saldo expressivo em contas digitais, facilmente identificadas por criminosos com acesso a dados vazados
- Quem usa SMS como único fator de autenticação em serviços financeiros
- Usuários com perfis públicos detalhados em redes sociais, que facilitam a coleta de dados pessoais
- Titulares de MEIs e pequenas empresas, cujos dados estão em cadastros públicos
Como se proteger
A proteção contra o SIM Swap exige medidas em várias frentes. Primeiro, junto às operadoras: é possível registrar uma senha de segurança para qualquer alteração cadastral, bloqueando pedidos de troca de chip sem autenticação presencial. Esse recurso existe nas principais operadoras brasileiras, mas poucos clientes conhecem ou ativam.
No âmbito dos serviços digitais, o passo mais importante é substituir o SMS como fator de autenticação. Aplicativos autenticadores como Google Authenticator ou similares geram códigos localmente, no próprio dispositivo, sem depender da linha telefônica. Se o chip for clonado, os códigos continuam sendo gerados no aparelho legítimo.
Outras medidas relevantes:
- Usar senhas únicas e fortes em cada serviço, gerenciadas por um aplicativo de senhas
- Monitorar o sinal do celular: perda repentina de sinal pode indicar que o número foi transferido
- Ativar alertas de transação em tempo real nos aplicativos bancários
- Desconfiar de contatos pedindo confirmação de dados cadastrais
- Verificar regularmente se há portabilidades solicitadas no seu número via canais oficiais da Anatel
O papel do aplicativo de mensagens na segurança
Uma dimensão frequentemente ignorada é o risco de perder o acesso a aplicativos de mensagens via SIM Swap. Quem usa o WhatsApp, por exemplo, sabe que o número de telefone é o identificador central da conta. Se um golpista assumir o número, pode ativar o WhatsApp no aparelho dele e assumir os grupos, conversas e contatos da vítima.
Como detalhamos no post sobre como o CLOUD Act dos EUA pode acessar seus dados no WhatsApp, a dependência de infraestrutura estrangeira e de protocolos baseados em número de telefone cria vulnerabilidades que vão além do controle individual do usuário.
PhizChat: comunicação que não depende da fragilidade do seu chip
O PhizChat foi projetado com um modelo de identidade que não depende do número de celular como fator central de autenticação. Isso significa que, mesmo em um cenário de SIM Swap, as conversas e a conta do usuário no PhizChat permanecem protegidas.
A plataforma utiliza criptografia de ponta a ponta com chaves armazenadas localmente, autenticação baseada em fatores que não transitam por SMS e controle total do usuário sobre seus dados. Não há intermediário dependente de operadora de telefonia que possa ser manipulado por um golpista com documentos falsos.
Em um cenário onde o número de celular virou a chave-mestra de serviços financeiros e de comunicação, contar com um aplicativo que não coloca todos os ovos na cesta da operadora de telefonia deixou de ser um diferencial e passou a ser uma necessidade.
Android
iOS