Ataque de troca de SIM para roubar 24 milhões de dólares! Suspeito de 21 anos esvazia as contas dos investidores em cripto

Um residente de Manhattan de 21 anos, Nicholas Truglia, é suspeito de ter levado a cabo um ataque de troca de SIM cards para esvaziar a conta do investidor cripto Michael Terpin, causando uma perda de mais de 23.000.000 USD. O próprio enfrenta também 21 acusações criminais graves. O detalhe mais amplamente divulgado de todo o caso não é a enorme quantia roubada, mas antes um tweet publicado pelo próprio suspeito: «Roubei 24.000.000, mas ainda assim não consigo fazer amigos.»

Como funciona o ataque de troca de SIM: esvaziar contas cripto em poucas horas

O ataque de troca de SIM card é uma técnica de engenharia social altamente direcionada. O atacante engana ou suborna o apoio ao cliente das operadoras de telecomunicações para transferir o número de telemóvel da vítima para um SIM card controlado pelo atacante. Assim que o atacante obtém o controlo do número de telefone, pode usar a funcionalidade «esqueci-me da palavra-passe» e, através de códigos de verificação por SMS, contornar a autenticação de dois fatores (2FA), passando então a aceder a contas de e-mail, plataformas de troca e carteiras cripto.

Michael Terpin afirma que, a 7 de janeiro de 2018, sofreu um ataque de troca de SIM card e que os seus ativos cripto, no valor de mais de 23.000.000 USD, foram transferidos num intervalo de tempo extremamente curto. Depois disso, ele intentou uma ação cível contra Truglia, declarando: «Intento esta ação judicial como parte do meu esforço contínuo para recuperar as perdas do roubo.»

O enaltecimento do suspeito: um retrato completo revelado por um juramento

O depoimento juramentado apresentado pelo ex-parceiro de Truglia, Chris David, regista em detalhe os hábitos de vida e o estado psicológico do suspeito durante o ato de furto, fornecendo uma grande quantidade de dados em primeira mão sobre todo o caso.

Detalhes-chave registados no depoimento juramentado de Chris David

Uma vida material luxuosa: relógios Rolex, apartamento com renda mensal de 6.000 USD, 100.000 USD em dinheiro guardados no armário

Apropriar-se de Robin Hood: afirma que «tira aos ricos, mas não dá aos pobres»

Gabar-se publicamente da conduta de troca de SIM: através da conta do Twitter @erupts, vangloria-se de ter realizado um ataque de troca de SIM ao próprio pai

Afirma que nunca será apanhado: «Como é que provam que a minha história está errada? Ninguém me pode pôr na prisão; estou disposto a apostar a minha vida.»

Outros registos de comportamento: no depoimento juramentado, David também menciona o hábito de Truglia de fugir ao pagamento das contas do restaurante

Em todos os detalhes, o que teve maior impacto duradouro foi aquele tweet — «Roubei 24.000.000, mas ainda assim não consigo fazer amigos». Esta declaração pública, cheia de ironia sobre si mesmo, acabou por se tornar parte dos documentos apresentados em tribunal e, posteriormente, um exemplo de alerta amplamente citado na comunidade de segurança cripto.

Resultado do caso e implicações duradouras para a segurança cripto

Truglia foi preso em novembro de 2018 em Manhattan e, em seguida, foi extraditado para a Califórnia, onde enfrenta 21 acusações criminais graves. O seu caso é um exemplo representativo inicial de ataques de troca de SIM card direcionados a detentores de ativos cripto com elevados patrimónios e revela de forma particularmente incisiva a fragilidade central dos mecanismos de autenticação 2FA baseados em números de telefone: o atacante não precisa de invadir dispositivos; basta controlar um único número de telefone para assumir o controlo de muitas contas associadas.

Este caso levou a comunidade cripto a discutir mais amplamente a necessidade de atualizar os métodos de autenticação, impulsionando mais utilizadores e instituições a deixarem a 2FA por SMS e a passarem para aplicações de verificação (Authenticator App) ou chaves de segurança físicas.

Perguntas frequentes

O que é um ataque de troca de SIM card e porque é que os ativos cripto são especialmente vulneráveis?

O ataque de troca de SIM card é uma técnica de engenharia social em que o atacante engana as operadoras de telecomunicações para transferirem o número de telefone da vítima para o seu próprio SIM. Como a maioria dos processos de reinicialização de contas nas bolsas cripto depende de códigos de verificação por SMS, após obter o controlo do número é possível contornar completamente a 2FA, tornando os ativos cripto um alvo altamente frágil.

Que impacto teve o caso de Michael Terpin na segurança cripto?

A ação movida por Terpin contra Truglia foi um dos casos de troca de SIM card mais representativos na história da segurança cripto, impulsionando um amplo debate na indústria sobre a atribuição de responsabilidades às operadoras e levando a comunidade cripto a defender de forma mais ativa o abandono da 2FA por SMS e a adoção de soluções de verificação em hardware mais seguras.

Como se pode defender eficazmente de um ataque de troca de SIM card?

As medidas de proteção essenciais incluem: substituir a 2FA por SMS por uma chave de segurança em hardware ou por uma aplicação de verificação; solicitar às operadoras a configuração de bloqueio do SIM ou de um PIN de conta; evitar associar diretamente contas de ativos cripto importantes a números de telefone; e rever regularmente os métodos de autenticação de todas as contas para reduzir a exposição a perdas de ativos após a transferência do número de telefone.