Um ataque de clonagem de chip é a manipulação do processo de transferência de números de telefone entre operadoras de celular e SIMs (Subscriber Identity Modules, módulos de identidade de assinante) para direcionar indevidamente mensagens de texto destinadas à vítima para o invasor. Se você usar SMS para a autenticação em duas etapas na Stripe, o invasor poderá usar esse método para obter seus códigos de verificação e, assim, obter acesso à sua conta.

Como os chips funcionam?

Um chip, ou cartão SIM, é emitido para cada cliente de celular e inserido em um telefone para identificar o cliente. Um número de telefone está associado a apenas um chip. Recentemente, os chips virtuais, ou eSIMs, foram apresentados para eliminar o cartão físico, mas funcionam da mesma maneira.

Sua operadora de celular pode alterar o chip a que um número de telefone está associado. Isso é necessário para que você possa manter o mesmo número de telefone caso perca seu telefone ou se o chip estiver danificado ou inutilizável. Isso também significa que os funcionários da operadora de celular conseguem fazer essa alteração.

Além disso, em muitos países, é exigido por lei que os clientes consigam mudar livremente de operadoras. Isso incentiva uma concorrência saudável, mas também força as operadoras de celular a fazerem uma verificação mínima antes de permitir a portabilidade de um número de telefone para outra operadora, que naturalmente emite um novo chip.

Como os ataques de clonagem de chip funcionam?

O ataque pode ocorrer por diversas maneiras, mas sempre com o mesmo resultado:

1. O invasor finge ser você, entra em contato com sua operadora de celular e informa que perdeu o telefone; O invasor convence a operadora de celular de que é você e recebe outro chip;
2. O invasor finge ser você, entra em contato com outra operadora de celular e informa que deseja realizar a portabilidade; A nova operadora pede à antiga que confirme a portabilidade e o invasor a convence, fazendo com que a nova operadora emita um chip; ou
3. Um funcionário da sua operadora de celular é subornado para alterar seu número de telefone para o chip do invasor.

Em todos os casos, o invasor obtém um chip que recebe SMS e chamadas do seu número de telefone, fazendo com que seu telefone pare de funcionar.

Como posso me proteger contra ataques de clonagem de chip?

Em geral, devido ao envolvimento de terceiros, não há como prevenir ataques de clonagem de chip no momento. A única forma de se proteger dos efeitos prejudiciais é parar de usar mensagens de texto (SMS) para a autenticação em duas etapas.

Se o SMS para a autenticação em duas etapas estiver ativado, sua conta estará em risco. Você deve habilitar um método alternativo de autenticação em duas etapas, como um aplicativo autenticador ou uma chave de segurança de hardware e, depois, desabilitar o SMS.