Uma crise silenciosa está se desenrolando na interseção da infraestrutura global de telecomunicações e das finanças digitais. Cibercriminosos estão transformando em arma uma funcionalidade fundamental de todas as redes móveis—o desvio de chamadas via Dados Suplementares não Estruturados (USSD)—para orquestrar roubos financeiros em larga escala, contornando a autenticação multifator (MFA) e outros controles de segurança modernos com uma facilidade alarmante. Esta economia da fraude explora uma relação de confiança crítica entre os usuários, seus dispositivos móveis e seus bancos, revelando uma vulnerabilidade sistêmica que a comunidade de segurança está correndo para abordar.
A mecânica técnica é enganosamente simples, mas devastadoramente eficaz. Os atacantes, frequentemente se passando por funcionários bancários, agentes de suporte técnico ou representantes de telecom, entram em contato com vítimas potenciais. Por meio de engenharia social persuasiva, convencem o alvo a discar um código USSD específico, como 21, 61 ou 67, seguido de um número de telefone controlado pelo fraudador. Por exemplo, pode-se dizer à vítima para discar 21
Uma vez executado, esse código ativa silenciosamente o desvio incondicional de chamadas na linha da vítima. Todas as chamadas recebidas e, criticamente, todas as SMS—incluindo senhas de uso único (OTP), códigos de autorização de transação e mensagens de alerta bancário—são redirecionadas instantaneamente para o número do criminoso. O telefone da vítima não mostra uma chamada em andamento ou indicação óbvia de que o desvio está ativo. A partir desse momento, o atacante possui a identidade digital da vítima para qualquer serviço vinculado àquele número de telefone.
O fraudador então inicia transações no aplicativo bancário ou de pagamentos da vítima. Quando o banco envia um OTP para verificar a transação, a SMS é redirecionada sem problemas para o criminoso, que completa a autenticação. A vítima permanece totalmente alheia até descobrir as contas esvaziadas. Este vetor de ataque é particularmente insidioso porque contorna medidas de segurança instaladas no dispositivo da vítima, como antivírus ou aplicativos de mensagens seguras; o comprometimento ocorre no nível da rede.
Este golpe destaca uma falha arquitetônica profunda: a segurança de todo o ecossistema de banco digital frequentemente repousa na integridade de uma única funcionalidade de telecomunicações legada: a entrega de SMS. Os códigos USSD, projetados décadas atrás para gerenciamento básico de serviços, nunca foram construídos com as ameaças de segurança modernas em mente. Eles não requerem autenticação secundária, nenhuma confirmação do usuário além de discar e fornecem feedback mínimo. Isso cria um modelo de ataque de baixa barreira e alta recompensa para criminosos.
O impacto é global, com relatos significativos da Índia, do Reino Unido e de outras regiões. Na Índia, as autoridades emitiram alertas específicos sobre números iniciados com sequências como 21, 61 e *67. No Reino Unido, o contexto de ameaças sofisticadas crescentes, incluindo aquelas potencialmente vinculadas a grupos afiliados a Estados, adiciona uma camada de risco geopolítico a essa vulnerabilidade técnica. O golpe não se limita a poupanças individuais; contas comerciais e fluxos financeiros corporativos são igualmente suscetíveis.
Para a comunidade de cibersegurança, isso representa um desafio multifacetado. Primeiro, é um problema de conscientização. Usuários finais, mesmo os tecnicamente experientes, não entendem o poder dos códigos USSD. Segundo, é um problema de responsabilidade. As operadoras de telecom detêm a infraestrutura USSD, enquanto os bancos detêm o processo de autenticação que depende dela. Isso cria uma lacuna perigosa na prestação de contas e na remedição. Terceiro, é um problema de tecnologia legada. Corrigir ou proteger protocolos de sinalização de telecomunicações com décadas de existência é uma tarefa monumental com implicações de interoperabilidade global.
Estratégias de mitigação devem ser igualmente em camadas. Na frente da educação do usuário, uma campanha global é necessária para estabelecer uma regra simples: nunca discar um código sugerido por uma chamada não solicitada. As operadoras de telecom poderiam implementar salvaguardas técnicas, como introduzir prompts de confirmação para comandos de desvio, adicionar temporizadores de atraso para ativação ou permitir que os usuários bloqueiem todas as solicitações de desvio via portal de sua conta. Órgãos reguladores devem pressionar as operadoras a tratar a segurança USSD com a mesma urgência que a integridade da rede.
Para instituições financeiras, o imperativo é claro: a dependência de OTP baseado em SMS para transações de alto valor não é mais sustentável como fator único. Os bancos devem acelerar a adoção de alternativas mais seguras, como notificações push para aplicativos autenticadores registrados, chaves de segurança de hardware ou verificação biométrica que seja vinculada ao dispositivo e não possa ser interceptada via desvio de rede. Uma abordagem de autenticação baseada em risco, onde transações incomuns acionem um método de verificação diferente e mais seguro, é essencial.
Em última análise, desmontar esta economia da fraude requer um esforço coordenado entre indústrias. As equipes de cibersegurança dentro dos bancos devem se engajar diretamente com as equipes de segurança nos provedores de telecom. O compartilhamento de informações sobre números maliciosos e padrões de ataque precisa ser em tempo real e automatizado. A era de tratar a infraestrutura de telecomunicações como uma 'caixa preta confiável' acabou. Suas vulnerabilidades são agora diretamente exploráveis para ganho financeiro, tornando sua segurança uma preocupação central para cada Diretor de Segurança da Informação (CISO) no setor financeiro e além. A transformação em arma do desvio de chamadas é um lembrete contundente de que, em nosso mundo digital interconectado, o elo mais fraco costuma ser a tecnologia mais antiga que esquecemos de proteger.
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.