Os números de telefone são usados para muitas atividades no dia a dia, como verificar o acesso a contas, usar aplicativos de corrida, comprar ingressos para eventos, emitir cartões de embarque para viagens e, claro, falar com amigos, familiares e colegas de trabalho. Mas o que acontece se o seu número de telefone cair em mãos erradas?
Os números de telefone foram encontrados em 39% de todos os vazamentos de dados, de acordo com uma pesquisa da Verizon de 2024, o ano mais recente com dados disponíveis desse tipo. Vazamentos de dados sofridos por operadoras de telefonia — e por seus fornecedores terceirizados — também expõem números de telefone vinculados a contas. Mais recentemente, um vazamento de dados na Charter Communications, uma grande empresa de telecomunicações, pode ter resultado no roubo de 42 milhões de registros que incluíam números de telefone de clientes.
Muitos números de telefone estão circulando livremente por aí, sujeitos a potenciais abusos. “Praticamente o número de telefone de cada pessoa no mundo está no banco de dados de alguém”, afirmou Lance Spitzner, diretor de treinamento em segurança digital corporativa no SANS Institute.
Por que seu número de telefone é valioso para golpistas
Os hackers podem conseguir os números de telefone dos consumidores por meio de diversas fontes, tanto públicas quanto privadas, bem como através de vazamentos de dados e de data brokers (empresas que comercializam dados).
“É absurdamente fácil conseguir números de telefone”, disse Nick Martin, CEO da Cyber Guardian Consulting Group. “Seu número de telefone está disponível em sites de venda de dados por centavos, foi vazado em grandes invasões, está postado no seu perfil do LinkedIn e indexado em dezenas de sites de busca de pessoas dos quais você nunca ouviu falar. Os criminosos não precisam hackear nada para encontrá-lo.”
Os números de telefone funcionam como uma porta de entrada para fraudes maiores e roubos digitais. Eles servem como os principais meios para autenticação e recuperação de contas financeiras e de redes sociais.
Ter o seu número de telefone em mãos não é um risco por si só, mas quando combinado com outras informações de identificação pessoal, como dados financeiros, torna-se um problema.
Um número de telefone sozinho geralmente não é suficiente para invadir seus aparelhos ou bloquear o acesso às suas contas. Um incidente menos malicioso, mas bastante irritante, é ter seu número transformado em alvo principal em bancos de dados de vendas e ligações automatizadas (robocalls). Mas o perigo aumenta quando ele cai nas mãos erradas.
O número de telefone pode servir de passaporte para atividades criminosas. “Um número de telefone sozinho não concede acesso ao aparelho, mas pode ser usado em golpes que enganam as vítimas para que revelem credenciais ou instalem programas maliciosos (malware)”, explicou Langley Allbritton, presidente da AI Communications Consulting. “O objetivo geralmente é a fraude financeira, o roubo de identidade ou a invasão de contas.”
É importante ressaltar que um hacker não consegue o acesso apenas ligando para a vítima. “O risco vem da engenharia social, ou seja, convencer alguém a compartilhar códigos, senhas ou autorizar o acesso, e não da ligação em si”, completou.
1. Spam e notificações falsas
No mínimo, o número de telefone de alguém pode parar em bancos de dados de marketing e de ligações automatizadas. O conteúdo enviado para o seu número pode variar de anúncios de produtos a golpes personalizados por SMS ou mensagens fingindo ser um “número errado”. Algumas podem incluir links para sites fraudulentos, enquanto outras buscam apenas uma resposta que indique que o número está “ativo” e em uso.
“Você recebe um SMS: ‘Você autorizou uma cobrança de R$ 200? Responda S/N’”, exemplificou Patrick Coughlin, CEO e fundador da Savi Security. “Você responde ‘N’. Segundos depois, um atendente super profissional do ‘departamento de fraudes’ liga, agradece por você ter sinalizado o problema e diz que vai proteger a sua conta, precisando apenas do código de verificação que acabou de enviar. Esse código, na verdade, é o invasor solicitando a redefinição da sua senha, e você está lendo o código diretamente para ele. As vítimas percebem tarde demais, geralmente quando os alertas reais de alteração de conta começam a chegar.”
Talvez tão prejudiciais quanto isso sejam as ligações ou mensagens de supostas autoridades governamentais. Geralmente, representam órgãos de trânsito alertando sobre pedágios não pagos que precisam ser quitados imediatamente. Outras mensagens afirmam ser da Receita Federal, do INSS ou de tribunais locais. Vale destacar que órgãos governamentais nunca entrarão em contato com os cidadãos por mensagem de texto ou telefone. Toda correspondência desse tipo é feita por escrito, via Correios. Ligações ou mensagens fingindo ser de bancos também podem visar o seu número de telefone.
2. SIM Swap (Golpe da troca de chip)
O SIM swap é a forma mais problemática e prejudicial de clonagem de número de telefone. O invasor pega o número da vítima e o combina com dados pessoais para entrar em contato com a operadora de celular. Se tiverem informações roubadas suficientes para convencer o atendente de que são os verdadeiros donos do número, a conta será transferida para um novo chip (cartão SIM).
O criminoso, por exemplo, pode “inventar uma história de que perdeu o celular ou o chip e que precisa transferir o número para um novo”, disse Mary Ann Miller, vice-presidente e consultora executiva de fraudes e crimes cibernéticos da Prove. Assim que o invasor ganha o controle do número da vítima, o golpista “pode interceptar senhas de uso único enviadas por SMS para autenticação de dois fatores, garantindo acesso à sua conta bancária e a outros serviços confidenciais”, alertou.
Infelizmente, o golpe do chip não é percebido até que a vítima tente usar o telefone e note que está sem sinal. Nesse momento, é urgente entrar em contato com a operadora de celular, além de verificar e alterar as senhas de todas as contas bancárias e redes sociais.
A prevenção do SIM swap envolve uma mistura de atenção e tecnologia. A Anatel americana (FCC) recomenda o uso de eSim (chips virtuais), por exemplo, para maior segurança. “Um eSIM não pode ser roubado sem que o celular seja roubado junto, enquanto os chips físicos removíveis às vezes são roubados e usados em golpes de portabilidade”, orienta o órgão.
Para verificar se você possui um SIM físico ou um eSIM no iPhone, vá em Ajustes, role até Geral, depois Sobre, e role para baixo para ver se há a indicação de SIM Físico ou eSIM. No Android, verifique a gaveta do chip na lateral do aparelho ou vá em Configurações, depois em Rede e Internet para verificar o tipo de configuração de SIM.
3. Alertas falsos de troca de chip
Tão prejudicial quanto o próprio golpe da troca de chip são os alertas falsos de que uma troca de chip estaria em andamento, o que pode abrir as portas para os hackers.
“As vítimas podem receber uma notificação, possivelmente por e-mail, informando que o seu número de telefone está prestes a ser trocado ou que está sendo trocado”, alertou Calum Baird, consultor sênior de computação forense digital e resposta a incidentes na Systal Technology Solutions. “A mensagem também pode direcioná-las a clicar em um link caso percebam isso acontecendo.”
Esses alertas falsos podem ser tentativas de phishing para roubar a senha de acesso às suas contas. “Se receber uma notificação como essa, você deve entrar em contato com a sua operadora diretamente por um número de telefone que você sabe que está correto”, orientou Baird.
4. Golpe da portabilidade
De forma semelhante ao SIM swap, o golpe da portabilidade envolve criminosos usando o número de telefone da vítima, combinado com outros dados pessoais, para migrar a linha para outra operadora. Com uma nova conta em nome da vítima, eles conseguem redefinir as credenciais de acesso a contas bancárias e redes sociais.
Obviamente, as operadoras possuem controles e proteções para evitar os golpes de portabilidade, como PINs e senhas associados às contas. Mesmo assim, o sistema não é infalível, segundo alerta da FCC. Os golpistas tentam burlar as defesas das operadoras cruzando o número das vítimas com informações públicas e dados vazados. Com essa combinação de dados, eles conseguem convencer o atendente da operadora a realizar a portabilidade do número.
Evitar esses golpes exige proatividade, como cadastrar um PIN ou uma senha para verificar sua identidade sempre que ligar para falar sobre a sua conta telefônica, aconselha o órgão regulador. Além disso, fique atento — por meio de notificações em tempo real — a qualquer alteração em suas contas financeiras ou de outros tipos.
5. Fraude de assinatura ou Falsidade ideológica
A fraude de assinatura envolve a abertura de uma conta e de um número totalmente novos usando o nome da vítima.
“Pode levar tempo para descobrir que a fraude de assinatura aconteceu, e ainda mais tempo para provar que você não contraiu aquelas dívidas”, aponta a FCC.
Para resolver uma possível fraude de assinatura, entre em contato com o provedor do serviço onde a conta falsa foi criada e também com a polícia. Além disso, acompanhe seu histórico de crédito por meio de órgãos de proteção ao crédito (como Serasa ou SPC).
6. Clonagem de celular
Invasores com conhecimento técnico também são capazes de monitorar as ondas de rádio das transmissões dos celulares e clonar suas próprias versões de uma conta em um aparelho clandestino.
O processo de clonagem envolve replicar os números de série eletrônicos (ESN) únicos dos celulares e os números de identificação móvel (MIN). Uma vez que as informações de ESN e MIN são transmitidas para o telefone clonado, as operadoras “não conseguem distinguir o celular clonado do aparelho legítimo”, segundo a FCC. Como em todos os casos, o primeiro passo é alertar a sua operadora caso cobranças suspeitas apareçam na sua fatura.
7. Mascaramento de número
Um hacker ou golpista pode mascarar o seu número para que seus contatos — familiares, amigos, colegas — vejam o seu número na tela e acreditem que estão recebendo uma ligação sua. Ou, inversamente, eles podem mascarar o número de um banco ou de outra fonte confiável.
“O spoofing de número permite que um criminoso exiba uma identificação de chamada falsa ou confiável, de modo que uma ligação de golpe apareça como se fosse do seu banco, de um órgão público ou de um nome que você reconhece”, explicou Clayton LiaBraaten, porta-voz sênior do setor para o Truecaller.
O que fazer se você acha que seu número foi comprometido
Se notar sinais de que algo está errado com a sua conta telefônica — cobranças não autorizadas, bloqueio de conta, desempenho mais lento, códigos de verificação não solicitados ou até mesmo a interrupção total do serviço –, a primeira coisa a fazer é entrar em contato com a sua operadora. Notifique-os sobre o possível uso indevido do seu número. Na maioria dos casos, a operadora pode tomar medidas corretivas, e isso não significa necessariamente ter que mudar de número de telefone.
Você pode precisar tomar medidas adicionais, incluindo “garantir que suas contas de e-mail e financeiras estejam seguras, alterar senhas, revisar as configurações de recuperação de conta e ativar a autenticação de dois fatores por aplicativo sempre que possível”, aconselhou Allbritton.
Miller recomenda registrar uma denúncia oficial em órgãos de defesa e delegacias de crimes cibernéticos (como o portal de crimes cibernéticos do governo), entrar em contato com o seu banco e emissores de cartão de crédito e colocar um alerta de fraude gratuito nos órgãos de proteção ao crédito. Se estiver usando o SMS como método de autenticação de dois fatores, mude para um aplicativo de autenticação ou uma chave de segurança física, diz Miller.
Como proteger seu número de telefone no futuro
Seu número de telefone precisa ser protegido como qualquer outro dado pessoal. Isso envolve limitar como e onde você compartilha seu número e as informações pessoais associadas a ele. Mantenha tudo isso fora do domínio público o máximo possível. Como sempre, fique atento às atividades do seu serviço telefônico, bem como das suas contas bancárias e redes sociais.
Nunca responda a abordagens de desconhecidos por chamada de voz ou texto. Se atender a uma ligação ou responder a uma mensagem e a outra parte pedir informações pessoais, não forneça. Além disso, bloqueie números suspeitos.
A invasão de linhas telefônicas é apenas uma das técnicas que hackers e golpistas utilizam para roubar o dinheiro dos consumidores. A má notícia é que é muito fácil conseguir números de telefone e eles estão disponíveis em diversas fontes, servindo como porta de entrada para fraudes e golpes. A boa notícia é que, com monitoramento atento e vigilância, a invasão de números de telefone pode se tornar um beco sem entrada para os criminosos.
*Reportagem publicada originalmente em Forbes.com