Rede global de “fazendas de chips” amplia cenário de fraude digital
Uma investigação internacional revelou um esquema de SIM Farm-as-a-Service operando em escala industrial, espalhado por ao menos 17 países e com 87 painéis de controle acessíveis diretamente pela internet. Esse tipo de operação, conhecida como “fazenda de SIM” ou “fazenda de chips”, utiliza milhares de linhas móveis reais para alimentar campanhas de fraude, automação maliciosa e evasão de mecanismos de segurança.
O ecossistema identificado está fortemente associado a uma plataforma central chamada ProxySmart, apontada como o “cérebro” responsável por integrar e controlar grande parte das fazendas mapeadas. De acordo com o levantamento atribuído à Infrawatch, foram localizadas ao menos 94 instalações físicas equipadas com smartphones reais, além de modems 4G e 5G conectados diretamente às redes de diversas operadoras.
Em vez de infraestrutura tradicional de data centers ou servidores em nuvem, essas operações oferecem algo mais difícil de detectar: conectividade móvel legítima, fornecida como serviço. Na prática, criminosos podem “alugar” acesso a linhas reais, em redes reais, com IPs de operadoras móveis, o que torna muito mais complexo diferenciar tráfego malicioso de atividades de usuários comuns.
A ProxySmart atua como uma camada compartilhada de controle e orquestração. O sistema permite cadastrar, monitorar e administrar milhares de dispositivos, fazer rotação automática de endereços IP, gerenciar clientes, aplicar diferentes “planos” de uso e embutir técnicas para driblar controles antifraude adotados por bancos, plataformas de e-commerce, redes sociais e serviços digitais em geral.
Um dos recursos mais preocupantes é o suporte a spoofing de impressão digital do sistema operacional. Por meio dessa função, o operador consegue simular que o acesso está vindo de um dispositivo rodando macOS, iOS, Windows ou Android, mesmo quando isso não corresponde ao ambiente real. Esse mascaramento engana mecanismos de fingerprinting – que tentam identificar e classificar o tipo de dispositivo, navegador, sistema operacional e padrões de uso – e dificulta a detecção de comportamentos anômalos.
Com a capacidade de imitar diferentes dispositivos e misturar o tráfego malicioso em meio à navegação legítima, os operadores de SIM farms ampliam o alcance de uma série de golpes. Entre os usos observados estão a criação massiva de contas falsas, manipulação de métricas e engajamento em redes sociais, execução de bots em campanhas de spam ou desinformação, fraudes de pagamento e abuso de códigos SMS para tomada de conta (account takeover).
A investigação identificou ainda ofertas de acesso a conectividade móvel de operadoras em múltiplos países com exigência mínima – ou até inexistente – de verificação de identidade por parte dos “clientes” dessas plataformas. Isso reduz drasticamente a rastreabilidade e cria um ambiente favorável para a atuação de grupos de cibercrime, operadores de golpes financeiros e redes de spam e phishing.
Por que as SIM farms são tão eficientes para fraude?
O grande diferencial das SIM farms em relação a outros tipos de infraestrutura maliciosa é o fato de elas operarem com números e redes móveis legítimas. Muitos sistemas antifraude foram desenhados para identificar padrões suspeitos em datacenters, proxies conhecidos, VPNs públicas ou endereços IP associados a hospedagens em massa. Quando o tráfego vem de uma rede móvel, compartilhando a mesma faixa de IP de milhões de usuários legítimos, o filtro se torna muito mais complexo.
Além disso, a rotação constante de chips, dispositivos e IPs permite que uma mesma operação mantenha milhares de identidades digitais descartáveis. Se uma linha é bloqueada por suspeita de fraude, rapidamente outra é ativada e configurada. Essa elasticidade faz com que campanhas de abuso sejam baratas, escaláveis e resilientes.
Impactos para empresas e usuários
Para empresas que dependem de validação via SMS – como bancos digitais, carteiras eletrônicas, aplicativos de transporte, delivery e redes sociais -, o risco cresce de forma significativa. Códigos de autenticação enviados por mensagem podem ser interceptados, automatizados ou abusados por contas criadas em massa, usando linhas fornecidas por essas fazendas.
Já para o usuário final, as consequências aparecem em forma de golpes de tomada de conta, abertura de contas falsas em seu nome, fraudes financeiras, aumento de mensagens de spam e assédio por SMS e aplicativos de mensagens. Quanto mais as SIM farms refinam sua capacidade de se parecer com tráfego legítimo, mais difícil se torna para os sistemas de proteção barrar o ataque sem prejudicar o usuário verdadeiro.
Relação com inteligência de ameaças (CTI) e detecção
A expansão de SIM farms internacionais reforça a importância da inteligência de ameaças (CTI) nas empresas. Monitorar em tempo quase real quais faixas de IP, padrões de dispositivos e comportamentos de navegação estão ligados a esse tipo de infraestrutura se torna um diferencial para instituições financeiras, provedores de serviços digitais e operações de e-commerce.
Com dados de CTI atualizados, é possível identificar clusters de atividade suspeita, cruzar informações de múltiplos sinais (IP, device fingerprinting, padrões transacionais, geolocalização, horário de uso) e isolar comportamentos que apontem para o uso de SIM farms, mesmo quando as linhas são fornecidas por operadoras legítimas.
Como os times de segurança podem responder
Para mitigar o risco trazido por esse modelo de fraude, empresas podem adotar um conjunto de estratégias complementares:
– Reduzir dependência de SMS como segundo fator de autenticação, substituindo ou combinando com métodos mais robustos, como aplicativos autenticadores, tokens físicos ou chaves FIDO.
– Aprimorar o fingerprinting de dispositivos, levando em conta múltiplos sinais (hardware, padrões de uso, histórico de comportamento, contexto geográfico) em vez de analisar apenas o endereço IP ou o sistema operacional declarado.
– Aplicar análise de risco em tempo real nas transações, usando modelos de machine learning capazes de identificar desvios sutis em relação ao comportamento típico do usuário.
– Reforçar cadastros e processos de verificação de identidade, sobretudo em serviços que permitem movimentação financeira ou acesso a dados sensíveis.
– Monitorar padrões de criação e uso de contas novas, já que SIM farms tendem a criar inúmeras contas de vida curta, com comportamentos parecidos, horários de atividade concentrados e repetição de ações.
Lado regulatório e responsabilidade das operadoras
A existência de uma rede global de SIM farms também levanta questões regulatórias. Em muitos países, a falta de exigência rígida para cadastro de chips pré-pagos e a fragilidade na verificação de dados de usuários abrem espaço para a ativação em massa de linhas que nunca serão usadas por pessoas físicas reais.
Fortalecer políticas de identificação de assinantes, implementar mecanismos de detecção de uso anômalo em grande escala (como milhares de SMS enviados por um mesmo conjunto de chips em pouco tempo) e promover ações coordenadas entre reguladores, operadoras e forças de segurança são passos fundamentais para reduzir o terreno fértil dessas operações.
Tendências futuras e riscos emergentes
Com a popularização do 5G e a expansão de dispositivos IoT conectados via redes móveis, a superfície de ataque das SIM farms tende a crescer. Além de SMS e chamadas, essas linhas podem ser usadas para registrar dispositivos, criar identidades digitais em serviços online ou até mesmo mascarar a origem de ataques a partir de equipamentos conectados.
Outra tendência é o uso mais intenso de automação e inteligência artificial nas próprias fazendas de SIM, permitindo que bots escolham, em tempo real, o perfil de dispositivo, a identidade digital simulada e a forma de interação com as plataformas, com o objetivo de se misturar perfeitamente ao comportamento humano.
O que empresas e usuários podem fazer agora
No curto prazo, empresas devem revisar seus modelos de autenticação, políticas de onboarding de clientes e mecanismos antifraude para considerar explicitamente o risco de SIM farms e SIM Farm-as-a-Service. Ignorar esse vetor significa subestimar um tipo de infraestrutura maliciosa que já opera de maneira industrial e multinacional.
Usuários, por sua vez, podem reduzir a exposição evitando depender apenas de SMS como fator de segurança, ativando métodos adicionais de proteção de conta, desconfiando de mensagens que pedem códigos ou dados pessoais e acompanhando com atenção movimentações suspeitas em contas financeiras e de serviços digitais.
A expansão dessas redes internacionais de fazendas de chips mostra que a conectividade móvel, pensada originalmente como ferramenta de inclusão e comunicação, também vem sendo explorada em larga escala por operadores de fraude. Entender esse ecossistema, ajustar controles de segurança e fortalecer a cooperação entre setor privado, operadoras e órgãos de defesa cibernética é essencial para conter o avanço desse modelo de crime digital.