SIM Swap: O Que É e Como Proteger Sua Conta de Verdade

SIM Swap: O Que É e Como Proteger Sua Conta de Verdade
SMSCode Team
SMSCode Team
· 16 min de leitura

Em 2023, mais de 3.500 casos de SIM swap foram registrados formalmente no Brasil — e esse número representa apenas uma fração dos casos reais, já que a maioria das vítimas não identifica o tipo de ataque e registra apenas a fraude bancária resultante. A fraude do SIM swap é silenciosa, rápida e devastadora: em minutos, um atacante pode assumir seu número de telefone e, com ele, suas contas bancárias, redes sociais, e-mail e qualquer serviço que use SMS como autenticação.

O que torna esse ataque especialmente perigoso é que ele não explora nenhuma falha técnica no seu dispositivo ou na sua senha. Ele explora o processo humano de atendimento ao cliente das operadoras de telefonia. Tecnologia nenhuma vai protegê-lo se o elo humano for o ponto fraco — e no SIM swap, esse elo é exatamente o que os atacantes exploram.

TL;DR: SIM swap transfere seu número para um chip do atacante via engenharia social com a operadora. A defesa mais eficaz é substituir SMS 2FA por autenticadores TOTP (Google Authenticator, Authy) e, para serviços onde SMS é obrigatório, usar um número virtual que não está vinculado ao seu CPF e não pode ser “portado” pelas operadoras tradicionais.

O Que É SIM Swap

SIM swap (também chamado de SIM hijacking ou portabilidade fraudulenta) é quando um atacante convence sua operadora de telefonia a transferir seu número de telefone para um chip que ele controla. O processo é simples do ponto de vista técnico: toda operadora tem um processo legítimo para troca de chip — quando você perde o celular, quando o chip danifica, quando troca de aparelho. Os atacantes exploram exatamente esse processo legítimo.

Depois que o número é transferido para o chip do atacante:

  • Todas as ligações destinadas a você vão para o dispositivo do atacante
  • Todos os SMS destinados a você — incluindo códigos de autenticação de banco, códigos de recuperação de e-mail, e qualquer verificação por SMS — chegam ao atacante
  • Você perde completamente o sinal no seu celular: o chip para de funcionar, porque o número foi desativado nele

O processo inteiro pode levar menos de 30 minutos desde o momento em que o atacante liga para a operadora até o momento em que ele começa a invadir suas contas. Você só percebe que algo está errado quando o sinal do seu celular desaparece de forma inexplicável.

Como o Ataque Acontece na Prática

Fase 1: Coleta de Dados

Antes de ligar para a operadora, o atacante precisa de informações suficientes para passar pelas perguntas de verificação de identidade. Essas informações são coletadas por múltiplos canais:

Vazamentos de dados: O Brasil teve dois dos maiores vazamentos de dados da história. Em 2020 e 2021, mais de 220 milhões de CPFs foram expostos com nome completo, data de nascimento, endereço, telefone e outros dados cadastrais. Essas bases de dados circulam em fóruns clandestinos e são vendidas por valores baixíssimos. Um atacante pode comprar seus dados pessoais por menos de R$10.

Redes sociais: Data de aniversário posta publicamente, localização que aparece em fotos, nome de parentes nos comentários — tudo isso fornece informações que complementam os dados dos vazamentos.

Phishing: E-mails ou mensagens de WhatsApp fingindo ser banco, operadora ou serviço governamental que pedem confirmação de dados cadastrais. Usuários que respondem entregam exatamente o que os atacantes precisam.

Compra de dados em mercados clandestinos: Bases de dados com informações cadastrais de brasileiros são comercializadas ativamente. Um pacote com nome, CPF, operadora e telefone de milhares de pessoas pode custar menos de US$ 50.

Fase 2: Engenharia Social com a Operadora

Com os dados coletados, o atacante liga para o SAC da sua operadora fingindo ser você. O script é direto: “Perdi meu celular e preciso de segunda via do chip para recuperar meu número.”

O atendente faz perguntas de verificação de identidade: CPF, data de nascimento, último endereço cadastrado, talvez a última conta paga. O atacante responde corretamente a todas — porque tem esses dados.

Em alguns casos, especialmente quando a verificação por telefone tem autenticação mais robusta, os atacantes vão pessoalmente a uma loja da operadora com documentos falsificados ou obtidos com a colaboração de funcionários corruptos. O mercado de SIM swap profissional inclui, infelizmente, esquemas que envolvem insiders nas operadoras.

Fase 3: Controle Total e Tomada de Contas

Com o chip ativado, o atacante age rapidamente. Ele sabe que tem uma janela curta antes de você perceber que o chip parou de funcionar. A sequência típica:

  1. WhatsApp: Solicita novo código de verificação para o número. O código chega para ele. Ele registra o WhatsApp no dispositivo dele e acessa todas as suas conversas e contatos.

  2. Banco digital: Clica em “esqueci a senha”. O código de recuperação chega por SMS para ele. Redefine a senha. Acessa o saldo. Inicia transferências via Pix ou TED para contas de laranjas.

  3. E-mail: Se o e-mail usa SMS como recuperação, é comprometido da mesma forma. Com o e-mail comprometido, ele pode recuperar qualquer outra conta associada àquele endereço.

  4. Redes sociais e outros serviços: Instagram, Facebook, conta de exchange de criptomoedas — qualquer coisa que use SMS como 2FA está vulnerável.

O dano médio por vítima de SIM swap no Brasil é de R$15.000 a R$50.000 em transferências não autorizadas, com casos documentados de perdas muito maiores quando criptomoedas ou contas empresariais estão envolvidas.

Por Que SMS 2FA Não Protege Contra SIM Swap

Autenticação de dois fatores via SMS é melhor do que nenhuma autenticação. Ela protege contra roubo de senha — alguém que obtém sua senha mas não tem acesso ao seu número não consegue entrar na conta. Mas contra SIM swap, ela é completamente ineficaz.

O motivo é simples: o atacante tem o seu número. O “segundo fator” — o código que deveria ser a barreira de segurança — vai diretamente para o dispositivo dele.

Este é o ponto crítico que muitas pessoas não compreendem: SMS 2FA protege contra roubo de senha, não contra roubo do número de telefone. São dois vetores de ataque completamente diferentes, e SMS 2FA só defende contra um deles.

Alternativas Tecnicamente Superiores ao SMS 2FA

TOTP (Time-based One-Time Password): Aplicativos como Google Authenticator, Authy e Microsoft Authenticator geram códigos baseados em um segredo criptográfico armazenado localmente no seu dispositivo. Esses códigos não dependem da rede telefônica, não são enviados via SMS, e não podem ser interceptados por SIM swap. Um atacante que tenha seu número de telefone não consegue acesso aos códigos TOTP — ele precisaria ter acesso físico ao dispositivo onde o autenticador está instalado.

A migração de SMS para TOTP é simples na maioria dos serviços: vá em Configurações > Segurança > Autenticação de dois fatores, selecione “aplicativo autenticador”, escaneie o QR code com o Google Authenticator ou Authy, e confirme o código. Pronto — SMS 2FA pode ser desativado.

Chaves de segurança físicas (FIDO2/WebAuthn): Dispositivos como YubiKey requerem presença física para autenticar. O processo envolve tocar fisicamente na chave conectada ao dispositivo. É impossível atacar remotamente — o atacante precisaria estar fisicamente com a chave na mão. Recomendado para contas extremamente críticas: e-mail principal de trabalho, conta de exchange com saldo alto, contas corporativas.

Passkeys: A tecnologia mais recente de autenticação sem senha, já suportada por Google, Apple, Microsoft e número crescente de serviços. Vinculada ao dispositivo físico via biometria ou PIN local. Elimina completamente a dependência do número de telefone para autenticação.

O Papel dos Números Virtuais na Proteção Contra SIM Swap

Há dois cenários distintos onde números virtuais se relacionam diretamente com a proteção contra SIM swap:

Cenário 1: Isolar o Número Real e Reduzir a Superfície de Ataque

Se você usa seu número de celular pessoal para verificar dezenas de serviços, está criando um ponto único de falha. Comprometer seu número via SIM swap significa comprometer todos esses serviços simultaneamente — o atacante tem acesso a qualquer coisa que use aquele número como 2FA ou recuperação.

Usando um número virtual para cadastros em serviços não críticos, você isola seu número real. Se um atacante realiza SIM swap no seu número pessoal, ele consegue acesso apenas aos serviços que você cadastrou com aquele número real. Os serviços cadastrados com números virtuais — que operam em infraestrutura completamente diferente, sem relação com as operadoras brasileiras — ficam intocados.

Na prática, isso significa que um SIM swap bem-sucedido resulta em dano muito menor. Em vez de comprometer 30 serviços de uma vez, compromete apenas os poucos que realmente precisavam do número pessoal.

Cenário 2: Usar Número Virtual em Serviços que Só Aceitam SMS

Alguns serviços, especialmente plataformas internacionais, só oferecem SMS como segundo fator e não suportam TOTP. Para esses serviços, número virtual tem uma propriedade interessante: ele não está sujeito ao processo de portabilidade das operadoras brasileiras.

Um atacante não pode fazer SIM swap de um número virtual ligando para a Claro ou para a Vivo — a infraestrutura de números virtuais é completamente separada das operadoras de telefonia móvel tradicionais. Para comprometer um número virtual, o atacante precisaria comprometer a conta do serviço de números virtuais em si, o que é um ataque completamente diferente e mais complexo.

Limitação importante: Número virtual não é uma bala de prata. Se você perder acesso à conta do SMSCode, perde o acesso ao número virtual e a qualquer serviço que dependa dele para recuperação. Use números virtuais para serviços secundários e não críticos — não para sua conta bancária principal, e-mail primário ou qualquer serviço que você não pode perder o acesso.

Como as Operadoras Brasileiras Estão Respondendo

A Anatel e as principais operadoras implementaram medidas anti-SIM swap nos últimos anos, em resposta ao crescimento dos ataques:

Senha adicional para portabilidade (PIN de chip): Esta é a proteção mais eficaz disponível. Claro, Vivo, TIM e Oi permitem cadastrar uma senha específica que é exigida para qualquer solicitação de portabilidade ou segunda via de chip — inclusive em loja física. Qualquer atendente que tente processar a troca de chip sem essa senha deve ser bloqueado pelo sistema.

Para ativar:

  • Claro: Ligue para *1052 (gratuito) ou acesse o app Minha Claro. Menu Segurança > Senha de Portabilidade.
  • Vivo: Ligue para *8486 ou acesse o app Meu Vivo. Procure por “Senha de Segurança do Chip”.
  • TIM: Ligue para *144 ou acesse o app Meu TIM. Menu Segurança > Senha do Chip.
  • Oi: Ligue para 1057 ou acesse o app Minha Oi. Configurações de segurança de linha.

Anote a senha em local seguro offline — se você esquecer e precisar trocar o chip por motivo legítimo, o processo de recuperação pode ser lento e burocrático.

Período de carência pós-troca: Após troca de chip, algumas operadoras bloqueiam operações bancárias via SMS por 24 a 72 horas. Isso limita o dano imediato, mas não impede o ataque.

Notificação por e-mail: Algumas operadoras enviam alerta antes de confirmar a troca. Mas se o atacante já comprometeu seu e-mail, essa notificação vai para ele, não para você.

Verificação biométrica em lojas físicas: Redes próprias das operadoras implementaram biometria facial para solicitações presenciais. Lojas revendedoras independentes variam na aplicação.

Plano de Ação Completo: Proteja-se Hoje

Ações Imediatas (Faça Agora, Leva Menos de 30 Minutos)

1. Ative a senha de portabilidade na operadora. Esta é a ação mais importante deste guia. Ligue para o SAC ou acesse o app da sua operadora agora. Leva 5 minutos. Sem essa senha, qualquer atacante com seus dados cadastrais — que provavelmente já estão disponíveis em bases vazadas — pode transferir seu número.

2. Migre o 2FA do SMS para TOTP. Priorize: conta Google, Apple ID, e-mail principal, banco digital. Em cada serviço, vá em Configurações > Segurança > Autenticação de dois fatores. Selecione “app autenticador”. Escaneie o QR code com Google Authenticator ou Authy. Confirme com o código gerado. Desative SMS 2FA.

3. Crie um e-mail de recuperação dedicado. Não use o e-mail principal como endereço de recuperação de todas as suas contas. Crie um e-mail usado exclusivamente para recuperações de conta — um endereço que você não usa em mais nenhum serviço, protegido com TOTP, que nenhum atacante vai saber que existe.

4. Revise o que está protegido apenas por SMS. Liste mentalmente seus serviços críticos — banco, e-mail, exchange, trabalho — e identifique quais ainda usam SMS como único 2FA. Esses são seus pontos de risco prioritários.

Ações de Médio Prazo (Esta Semana)

5. Migre 2FA de SMS para TOTP em mais serviços. Instagram, Facebook, Twitter/X, LinkedIn, Amazon, PayPal — todos suportam TOTP. Faça a migração gradualmente, um serviço por dia se necessário.

6. Considere chave de segurança física. YubiKey custa entre R$ 200 e R$ 400 e protege permanentemente suas contas mais críticas contra qualquer ataque remoto. Para contas com acesso a valores significativos ou dados extremamente sensíveis, é o investimento mais eficiente em segurança disponível.

7. Use número virtual para serviços secundários. Para cadastros em plataformas de e-commerce, serviços de streaming, fóruns e outros serviços não críticos, use número virtual ao invés do seu chip real. Isso limita a superfície de ataque — um SIM swap bem-sucedido compromete menos serviços.

8. Monitore seu chip ativamente. Se o sinal do seu celular desaparecer sem motivo aparente — especialmente com perda simultânea de chamadas e dados — acione a operadora imediatamente de outro telefone. Cada minuto conta.

Verificando e Respondendo a um Ataque

Sintomas de SIM Swap em Andamento

  • Celular perde sinal de forma súbita e sem motivo aparente (zero barras, sem conexão de dados)
  • Impossível fazer ou receber ligações e SMS
  • A operadora informa que “chip está ativo em outro dispositivo”
  • Você recebe notificações de login em contas que você não fez
  • Recebe e-mails de redefinição de senha que você não solicitou
  • O WhatsApp mostra mensagem de “desconectado” ou pede novo código de verificação

Cada minuto conta após o SIM swap ser realizado. O atacante age rapidamente porque sabe que a janela é curta.

Protocolo de Resposta Imediata

Minuto 1-5: Ligue para a operadora de outro telefone — celular de familiar, colega ou telefone fixo. Informe que suspeita de SIM swap e peça bloqueio emergencial imediato da linha.

Minuto 5-15: Acesse suas contas bancárias pelo computador — não pelo celular comprometido. Verifique transações recentes. Se houver movimentações suspeitas, acione o canal de emergência do banco (normalmente 0800 disponível 24h).

Minuto 15-30: Mude a senha do e-mail principal pelo computador, caso ainda consiga acessar via autenticador TOTP ou senha guardada. Se o e-mail já estiver comprometido, pule para o banco e retorne ao e-mail depois.

Minuto 30-60: Notifique o banco sobre possível comprometimento da linha, mesmo sem transações visíveis ainda. Registre Boletim de Ocorrência — presencialmente na delegacia ou online através dos sistemas da Polícia Civil do seu estado.

Legislação e Seus Direitos

SIM swap é crime no Brasil. É tipificado como fraude e estelionato (Art. 171 do Código Penal), podendo configurar também crime de acesso indevido a sistema informático (Lei 12.737/2012 — Lei Carolina Dieckmann). As penas variam de 1 a 5 anos de reclusão.

Mais importante para as vítimas: as operadoras que permitem SIM swap por falha em seus processos de verificação têm sido responsabilizadas judicialmente. Há precedentes no PROCON e no Judiciário de condenações de operadoras por danos causados a vítimas de SIM swap onde o processo de verificação de identidade foi insuficiente.

Para processar a operadora, documente tudo:

  • Boletim de Ocorrência (obrigatório)
  • Protocolo de reclamação formal junto à operadora
  • Histórico de comunicações com a operadora sobre o incidente
  • Extratos bancários com transações fraudulentas identificadas
  • Registro de reclamação no PROCON ou Anatel

Consulte um advogado especializado em direito digital para avaliar a ação. Em casos com dano documentado e falha comprovada da operadora, as chances de indenização são significativas.

FAQ

SIM swap é crime no Brasil?

Sim. SIM swap é tipificado como fraude e estelionato (Art. 171 do Código Penal), com penas de 1 a 5 anos. Pode enquadrar também crime de acesso indevido a sistema informático (Lei 12.737/2012 — Lei Carolina Dieckmann). Registre Boletim de Ocorrência imediatamente se for vítima — é necessário para processos de ressarcimento com banco e operadora, e para eventual ação judicial.

Número virtual protege contra SIM swap melhor que número físico?

Para os serviços vinculados ao número virtual, sim — porque a infraestrutura de números virtuais não está sujeita ao processo de portabilidade e troca de chip das operadoras brasileiras. Um atacante não pode fazer SIM swap de um número virtual ligando para a Claro ou Vivo. Mas número virtual não é a proteção principal para contas críticas: para banco, e-mail principal e serviços essenciais, use TOTP ou chave física. Use número virtual para serviços secundários, reduzindo a exposição do número real.

Meu banco só aceita SMS como 2FA. O que fazer?

Entre em contato com o banco e solicite alternativas de autenticação — muitos bancos digitais estão migrando para autenticação biométrica pelo app, que não depende de SMS. Enquanto isso: ative obrigatoriamente a senha de portabilidade na sua operadora, monitore o sinal do chip ativamente (queda súbita é alarme), e considere manter saldo menor no banco digital e maior em conta com acesso menos dependente de SMS. Se o banco for irredutível quanto ao SMS, documente essa limitação como parte do seu risco e planeje contingências.

Posso processar a operadora se fui vítima de SIM swap?

Sim, e há precedentes favoráveis. Operadoras condenadas judicialmente e pelo PROCON nos casos onde a verificação de identidade foi insuficiente para prevenir a fraude. Para ter boas chances na ação: Boletim de Ocorrência (obrigatório), protocolo de reclamação formal com a operadora (registre imediatamente), extrato bancário mostrando transações fraudulentas com horário, e toda comunicação com a operadora sobre o incidente. Consulte advogado especializado em direito digital — honorários em casos de consumidor frequentemente são a resultado.

Como o número virtual do SMSCode se encaixa numa estratégia de segurança?

Use número virtual para serviços secundários e não críticos — cadastros em e-commerce, plataformas de conteúdo, redes sociais secundárias, serviços que você testa antes de comprometer. Para serviços críticos (banco, e-mail principal, contas de trabalho), use TOTP como método de 2FA. Para contas extremamente críticas com acesso a valores significativos, considere chave física FIDO2. O SMSCode é uma ferramenta de conveniência e separação de identidade digital que reduz a superfície de ataque do seu número pessoal — não um substituto para segurança robusta em contas de alto risco.

Qual é o sinal mais certo de que sofri SIM swap?

O sinal mais claro e imediato é a perda total de sinal do celular de forma súbita e inexplicável — zero barras, sem chamadas, sem dados. Se ao ligar para a operadora eles confirmarem que “o chip está ativo em outro dispositivo” ou que “houve uma troca de chip recente” que você não autorizou, é confirmação de SIM swap em andamento. Aja imediatamente: acesse o banco pelo computador, notifique o banco, peça bloqueio de emergência à operadora e registre BO.

#segurança#sim-swap

Pronto para experimentar o SMSCode?

Crie uma conta e obtenha seu primeiro número virtual em menos de dois minutos.

Começar →