Um ataque de clonagem de chip é a manipulação do processo de transferência de números de telefone entre operadoras de celular e SIMs (Subscriber Identity Modules, módulos de identidade de assinante) para direcionar indevidamente mensagens de texto destinadas à vítima para o invasor. Se você usar SMS para a autenticação em duas etapas na Stripe, o invasor poderá usar esse método para obter seus códigos de verificação e, assim, obter acesso à sua conta.
Um chip, ou cartão SIM, é emitido para cada cliente de celular e inserido em um telefone para identificar o cliente. Um número de telefone está associado a apenas um chip. Recentemente, os chips virtuais, ou eSIMs, foram apresentados para eliminar o cartão físico, mas funcionam da mesma maneira.
Sua operadora de celular pode alterar o chip a que um número de telefone está associado. Isso é necessário para que você possa manter o mesmo número de telefone caso perca seu telefone ou se o chip estiver danificado ou inutilizável. Isso também significa que os funcionários da operadora de celular conseguem fazer essa alteração.
Além disso, em muitos países, é exigido por lei que os clientes consigam mudar livremente de operadoras. Isso incentiva uma concorrência saudável, mas também força as operadoras de celular a fazerem uma verificação mínima antes de permitir a portabilidade de um número de telefone para outra operadora, que naturalmente emite um novo chip.
O ataque pode ocorrer por diversas maneiras, mas sempre com o mesmo resultado:
Em todos os casos, o invasor obtém um chip que recebe SMS e chamadas do seu número de telefone, fazendo com que seu telefone pare de funcionar.
Em geral, devido ao envolvimento de terceiros, não há como prevenir ataques de clonagem de chip no momento. A única forma de se proteger dos efeitos prejudiciais é parar de usar mensagens de texto (SMS) para a autenticação em duas etapas.
Se o SMS para a autenticação em duas etapas estiver ativado, sua conta estará em risco. Você deve habilitar um método alternativo de autenticação em duas etapas, como um aplicativo autenticador ou uma chave de segurança de hardware e, depois, desabilitar o SMS.