O uso do celular para compras de mercadorias físicas e serviços vem crescendo, ano após ano.
E isso ocorre em vários segmentos, como compra online em geral, além de transações financeiras como mobile banking, entre outros.
Tudo parece funcionar bem, apenas com um simples clique. No entanto, a realidade é bem diferente em função das redes de sinalização SS7 e Diameter das operadoras de telefonia celular em nível global.
O SS7, por exemplo, é um protocolo de sinalização de telefonia usado desde 1975, quando foi projetado.
É amplamente utilizado em redes fixas e móveis em todo o mundo. Todos os dias, bilhões de chamadas e mensagens SMS são tratadas por este sistema.
Assim, trata-se de um grande mercado para fraudadores e hackers.
Recentes pesquisas feitas pela Positive Technologies apresentaram número assustador de ataques confirmados às operadoras de rede móvel. Eles podem chegar a mais de 5 mil por semana.
Ataques
Em dezembro de 2018, um banco europeu tornou-se o primeiro grande banco a divulgar ataques do SS7 contra seus clientes.
Os hackers exploraram a falha no protocolo SS7. Assim, anularam o processo de autenticação de dois fatores usados pelo banco para proteger seus clientes, que basicamente envia um SMS, gerando grande impacto financeiro a instituição.
Assim, para que se tenha uma ideia, um cliente teve mais de 25 mil libras desviadas de sua conta bancária.
No Brasil, já existem casos confirmados de ataques, como interceptação de chamadas e interceptação de dados.
Ameaças às operadoras
Ademais, também existem outros tipos de ameaças. Como divulgação do International Mobile Subscriber Identity (IMSI), localização do usuário, interceptação de SMS, evasão de receita, encaminhamento de chamadas e interrupção momentânea dos serviços (DoS, na sigla em inglês).
Ataques cibernéticos são um dos principais riscos identificados pelo Relatório Global de Riscos de 2018.
Nele, violações de dados e roubo aparecem em uma lista com elevada probabilidade de ocorrer.
Ameaças aos usuários de telefonia celular são reais e a Lei Geral de Proteção de Dados (LGPD), assim como o GDPR europeu, regulamenta o uso de dados de pessoas físicas pelas empresas.
Assim, ela cria regras claras sobre como as organizações devem coletar, armazenar e compartilhar as informações dos usuários.
Por fim, cabe às operadoras de telefonia celular investir em soluções para mitigação de riscos de ciberataques.
Tudo através de ferramentas como Intrusion Detection System (IDS), para monitorar as redes de sinalização em tempo real, apresentando as ameaças ou firewall de sinalização inteligentes com IDS.
- Giovani Henrique é CEO para América Latina da Positive Technologies