SIM swapping: a fraude do duplicado de SIM e como te protegeres
O SIM swapping clona o teu número noutro cartão para intercetar os SMS do teu banco. Explicamos como o fazem, os sinais e como te blindares.
NoCall Blog
Guias claros para identificar chamadas, prefixos e fraudes antes de atender.
O SIM swapping é uma fraude na qual um criminoso consegue um duplicado do teu cartão SIM e "transfere" o teu número de telefone para o telemóvel dele. A partir desse momento recebe as tuas chamadas e, o mais grave, os SMS com os códigos de verificação do teu banco. Aqui explicamos como o fazem, que sinais os denunciam e como te blindares.
Ao contrário dos golpes que já conheces, aqui não és tu que és enganado com uma chamada. O golpe é desferido contra a tua operadora. Por isso é tão perigoso: podes fazer tudo bem, não atender nenhum número estranho, e ainda assim perder o controlo da tua linha. A boa notícia é que há defesas concretas, e muitas são gratuitas.
O que é exatamente o SIM swapping?
O teu número de telefone não vive dentro do cartão SIM de plástico. Vive nos sistemas da tua operadora, que associam esse número a um SIM específico. Quando pedes um duplicado porque perdeste o telemóvel ou o cartão se partiu, a operadora "desliga" o SIM antigo e ativa o novo com o teu mesmo número. É um serviço legítimo e necessário.
O SIM swapping (também chamado duplicado de SIM fraudulento ou SIM swap) consiste em um criminoso pedir esse duplicado fazendo-se passar por ti. Se conseguir, o teu SIM real fica sem serviço em poucos minutos e o teu número começa a funcionar no telemóvel do atacante.
A partir daí, tudo o que depende do teu número passa para as mãos dele:
- Os SMS com os códigos de verificação (o famoso 2FA ou OTP) do teu banco, do teu email ou das tuas redes sociais.
- As chamadas de confirmação que algumas entidades fazem antes de uma operação.
- Os SMS de recuperação de palavra-passe de dezenas de serviços.
Com o código que chega por SMS, o atacante pode entrar no teu banco online, autorizar transferências ou esvaziar a tua conta. E tudo sem que a tua palavra-passe tenha sido divulgada: basta-lhe intercetar esse segundo fator que julgavas seguro.
Como conseguem fazer-se passar por ti perante a operadora?
O duplicado de SIM não é o primeiro passo da fraude, mas o último. Antes, o criminoso precisa de reunir dados suficientes sobre ti para convencer a operadora (ou um funcionário) de que é o titular da linha. Essa fase prévia é pura engenharia social.
Os dados obtém-nos combinando várias fontes:
- Fugas de dados: falhas de segurança de empresas que deixam expostos nomes, documentos, telefones e moradas.
- Phishing e smishing: emails e SMS que te pedem para "verificar" os teus dados. Se te soa familiar, é porque é a mesma mecânica que explicamos no nosso guia sobre o smishing e os golpes por SMS.
- Vishing: chamadas em que se fazem passar pelo teu banco ou pela tua operadora para te sacar o documento, a data de nascimento ou o número de conta.
- Redes sociais: informação pública que tu mesmo partilhaste sem dar importância.
Com esse dossiê montado, contactam a tua operadora por telefone, pela web ou até presencialmente numa loja, e pedem o duplicado. Por isso convém entender que o SIM swapping é quase sempre precedido de outra tentativa de golpe. Se te chegou há pouco uma chamada ou um SMS a pedir dados pessoais, considera-o um sinal de alerta. Aprende a ler os sinais de risco de um número antes de dar qualquer dado.
Porque é que o SMS deixou de ser um segundo fator seguro?
Durante anos, receber um código por SMS para confirmar uma operação foi considerado suficiente. A lógica era simples: só tu tens o teu telemóvel, portanto só tu recebes o código. O SIM swapping quebra essa premissa pela raiz. Se o atacante controla o teu número, o código chega-lhe a ele.
Isto liga-se a outras fraudes que exploram o mesmo elo fraco. Vimo-lo nas flash calls e chamadas ping para roubar OTP: os códigos de uso único são valiosíssimos para os criminosos, e o SMS é o canal mais fácil de intercetar.
A conclusão não é "o SMS não serve para nada", mas que o SMS é o fator mais fraco dos que existem. Se podes escolher outro método de verificação, fá-lo. Mais abaixo explicamos quais.
Quais são os sinais de que te estão a fazer um SIM swap?
A grande vantagem defensiva que tens é que o SIM swapping deixa um rasto muito visível: o teu telemóvel deixa de funcionar. O problema é que muita gente o confunde com uma falha técnica e demora horas a reagir. Cada minuto conta.
Estes são os sinais que não deves ignorar:
| Sinal | O que significa |
|---|---|
| Perda repentina de cobertura sem motivo | O teu SIM foi desativado; o número pode já estar noutro telemóvel |
| O telemóvel marca "Sem serviço" ou "Só emergências" | A linha já não está associada ao teu cartão |
| Deixas de receber chamadas e SMS de repente | O tráfego do teu número foi desviado |
| Chega-te um SMS ou email a avisar de uma "troca de SIM" que não pediste | A operadora processou um duplicado em teu nome |
| Avisos do banco sobre acessos ou tentativas de acesso desconhecidos | Alguém está a usar o teu número para entrar nas tuas contas |
| Não consegues aceder ao email ou às redes sociais | Iniciaram o processo de recuperação com o teu número |
O sinal principal é a perda de cobertura inexplicável. Se estás numa zona onde tens sempre sinal e de repente desaparece, e reiniciar o telemóvel não resolve, não deixes para depois. Pega noutro telefone e liga à tua operadora para confirmar que o teu SIM continua ativo e que ninguém pediu um duplicado.
O que faço nos primeiros minutos se suspeitar?
A velocidade é tudo. Se achas que estás a sofrer um SIM swap neste momento:
- Liga à tua operadora a partir de outro telefone e pede que bloqueiem qualquer duplicado e reativem o teu SIM. Explica que suspeitas de uma fraude.
- Contacta o teu banco pelo canal oficial (a app ou o número no verso do cartão) e pede que congelem os acessos e as operações online.
- Muda as palavras-passe do teu email principal e do banco online a partir de um dispositivo de confiança, não do telemóvel afetado.
- Verifica as tuas contas à procura de transferências ou alterações que não fizeste.
- Apresenta queixa. Liga ao 017 do INCIBE (gratuito) para te orientarem e apresenta queixa à polícia.
Se já chegaste a dar dados ou sofreste débitos, segue o plano de ação completo descrito em o que fazer se já deste os teus dados num golpe.
Como me protejo antes de acontecer? O PIN de operadora e outras barreiras
A prevenção do SIM swapping tem duas frentes: dificultar que o atacante reúna os teus dados e dificultar que a operadora entregue um duplicado a quem não és tu. A medida principal é o PIN ou palavra-passe de operadora.
O PIN de operadora: o teu melhor escudo
A maioria das operadoras em Espanha permite configurar uma chave ou PIN de segurança associado à tua conta. É um código que te será pedido para qualquer gestão sensível, como um duplicado de SIM. Sem essa chave, nem sequer com os teus dados pessoais conseguirão autorizar a troca.
Não se ativa sozinho. Tens de o pedir expressamente:
- Liga à tua operadora ou entra na tua área de cliente.
- Solicita ativar uma chave ou PIN de segurança para gestões de SIM.
- Escolhe um código que não seja adivinhável (nada de datas de nascimento nem documentos).
- Guarda-o onde não guardas tudo o resto.
É gratuito e é a barreira mais eficaz que existe contra o duplicado fraudulento. Se não sabes se a tua operadora o oferece ou como se chama exatamente no teu caso, consulta a nossa secção de operadoras ou pergunta diretamente no apoio ao cliente.
Troca o SMS por métodos de verificação mais fortes
Mesmo que te façam o SIM swap, se as tuas contas críticas não dependerem do SMS, o atacante fica sem a peça-chave. Compara as opções:
| Método de 2FA | Resistência ao SIM swap | Comodidade |
|---|---|---|
| Código por SMS | Baixa: interceta-se com o duplicado | Alta |
| App de autenticação (TOTP) | Alta: o código vive no teu dispositivo, não no número | Média |
| Chave de segurança física (FIDO/passkey) | Muito alta: requer o dispositivo físico | Média |
| Notificação push do banco | Alta: ligada ao dispositivo, não ao SMS | Alta |
A recomendação prática: migra o segundo fator do teu banco, do teu email e das tuas redes sociais para uma app de autenticação ou para chaves/passkeys sempre que o serviço o permita. Reserva o SMS apenas para serviços sem alternativa.
Reduz a pegada de dados que te podem roubar
O SIM swap começa com os teus dados. Quantos menos circularem, mais difícil lhes tornas:
- Nunca dês dados pessoais por telefone ou SMS a quem te liga ou escreve sem que tenhas sido tu a iniciar. A regra de ouro é a mesma de sempre: desliga e verifica pelo canal oficial.
- Desconfia da urgência. A pressão para agir "já" é a marca da fraude.
- Revê o que publicas nas redes. A tua data de nascimento, a tua terra ou o nome do teu animal podem ser respostas a perguntas de segurança.
- Vigia as fugas de dados. Se te avisarem de uma falha num serviço que usas, muda essa palavra-passe e ativa um 2FA robusto.
Ativa avisos e reforça o email
A tua conta de email é a chave-mestra: a partir dela recuperam-se quase todas as outras palavras-passe. Protege-a com a melhor verificação possível e um 2FA que não dependa do SMS. Ativa também as notificações do banco para qualquer acesso ou movimento: são o teu sistema de alarme precoce, porque te avisam de atividade suspeita mesmo se o atacante já controlar o teu número (as push vão para o dispositivo, não para a linha).
Em que se distingue o SIM swapping de outros golpes telefónicos?
É fácil confundi-lo, por isso deixemos claro. No vishing e no spoofing do identificador, o criminoso engana-te diretamente, fingindo ser o teu banco para que lhe dês os dados ou autorizes algo. No SIM swapping, o engano dirige-se à operadora, e tu nem sequer participas na conversa.
Outra diferença-chave: na maioria dos golpes telefónicos a defesa é não atender nem dar dados. No SIM swapping isso não basta, porque o ataque acontece por trás. Aqui a defesa é estrutural: o PIN de operadora, o 2FA sem SMS e a vigilância da cobertura.
Ainda assim, partilham um elo inicial comum: a recolha de dados por phishing, smishing ou vishing. Por isso, blindar-te contra essas primeiras tentativas também te protege do SIM swap. Se costumas receber muitas chamadas suspeitas, revê como identificar e bloquear os números mais reportados e consulta as tendências do spam em Espanha para saber que padrões estão a circular.
Em resumo: o teu plano anti-SIM swap
Se ficares com quatro ideias, que sejam estas:
- Ativa o PIN de operadora hoje mesmo. É gratuito e é a barreira mais eficaz.
- Tira o SMS do teu 2FA no banco, email e redes. Usa apps de autenticação ou passkeys.
- Trata a perda súbita de cobertura como uma emergência, não como uma falha técnica.
- Protege o teu email acima de tudo e ativa os avisos bancários.
O SIM swapping mete medo porque ataca um serviço que julgavas inviolável: o teu próprio número. Mas é uma das fraudes que melhor se previne se tomares as medidas certas a tempo. Não precisas de ser um especialista em segurança; precisas de uma chamada à tua operadora e meia hora a mudar configurações.
E lembra-te de que a comunidade é o teu melhor radar. Muitos SIM swaps começam com uma chamada ou um SMS de recolha de dados. Se receberes um suspeito, procura-o e reporta-o no diretório de números spam do NoCall: ajudas outra pessoa a reconhecer a ameaça antes de morder o isco. Para continuares a formar-te, passa pelos nossos guias e pelo resto do blog.
Recebeu uma chamada suspeita?
Pesquise o número na NoCall antes de partilhar dados, ligar de volta ou clicar em qualquer ligação.
Pesquise um número de telefone espanhol ou um nome de empresa (Iberdrola, Movistar...) para verificar se foi denunciado como spam.