Um dos maiores pesadelos para quem tem moedas virtuais é que, a qualquer momento, elas virem fumaça – sumam, sem deixar rastros.

Pois isso está acontecendo em crescentes proporções nos Estados Unidos. Hackers telefonam para as operadoras de telefonia, conseguem transferir a linha da vítima para outro aparelho ou outra operadora e, a partir daí, obtêm acesso a senhas de qualquer conta que tenha o celular registrado como backup de segurança.

Mesmo se você não tiver bitcoins ou moedas similares, e mesmo se não morar nos Estados Unidos, o caso é preocupante.

A brecha de segurança explorada por esses hackers pode valer para qualquer serviço que use o envio de SMS como forma de aumentar a segurança: sua conta no Google, em alguma nuvem de dados, vários bancos, redes sociais, Evernote, Dropbox…

Pela porta de entrada do celular, os piratas em alguns casos encontram arquivos comprometedores (fotos sem roupa, comunicações indevidas, a revelação de fetiches sexuais…) e chantageiam a vítima. Às vezes, eles encontram senhas de contas bancárias e fazem saques – com frequência revertidos pelos bancos.

No caso dos Bitcoins, o efeito é mais dramático. E imediato. Há casos de contas saqueadas até o último bit-centavo, como a de um dos pioneiros da mineração de moedas virtuais, Jered Kenna, no final do ano passado. Kenna não diz o quanto perdeu, mas afirma que foi o equivalente a milhões de dólares. “Eu sou um dos primeiros mineiros de bitcoins”, disse ele à revista Forbes. “Acho que não é preciso falar mais nada.”

Como a bitcoin é modelada para ser uma operação irreversível e não deixa rastros, ela se torna bem mais tentadora para os meliantes. Várias vítimas são do mercado das moedas virtuais, capitalistas de risco e altos executivos.

“Esses ataques estão deixando clara a insegurança de usar qualquer processo de segurança de senhas pelo celular”, disse Michael Perkin, chefe de segurança de uma casa de câmbio de moedas virtuais, ao jornal New York Times.

O número de casos de sequestro de celular subiu de 1.038, em janeiro de 2013, para 2.658 em janeiro de 2016, segundo a Federal Trade Commission, o órgão de proteção ao consumidor no país. Isso representa 6% de todos os casos de roubo de identidade registrados. A própria chefe de tecnologia do FTC, Lorrie Cranor, teve seu celular sequestrado.

De acordo com especialistas em segurança digital, o número de casos continua crescendo. As operadoras de celulares disseram estar tomando novas precauções contra esse tipo de ataque. O problema é que seus processos são otimizados para facilitar a comunicação – elas não estão no negócio de proteger dinheiro.

“Agências de moedas virtuais parecem bancos, guardam milhões de dólares como bancos, mas você não percebe quão vulneráveis elas são até perder milhares de dólares em questão de minutos”, disse Cody Brown, um desenvolvedor de realidade virtual que foi vítima desse golpe em maio, ao New York Times.

Quando se fala em hackers, ou piratas digitais, costuma-se pensar em jovens altamente versados em tecnologia. Mas os esquemas de roubo de identidade via celular são pouca coisa mais sofisticados que os golpes de presidiários brasileiros que ligam para telefones de cidadãos.

O estratagema envolve a investigação de alguém pelas redes sociais, para espiar sua data de aniversário e algumas informações que podem ser úteis para o roubo de identidade. Segundo uma pesquisa, dois terços dos americanos revelam dados como aniversário e número de documento a uma pessoa sem confirmar sua identidade.

De posse dessas informações, os golpistas ligam para a operadora de celular e pedem uma transferência de conta. Dizem que perderam a senha, que estão com urgência… em geral, isso falha. Mas eles insistem até encontrar um funcionário relapso da operadora, que lhes permite desviar a conta para outro aparelho.

“Esses caras sentam e telefonam 600 vezes até conseguirem contatar um funcionário que seja um idiota”, disse Joby Weeks, um mineiro de bitcoins que perdeu cerca de 100.000 dólares.

A partir daí, os golpistas se beneficiam de uma medida de segurança recente, a autenticação por dois fatores (2FA). Trata-se de um processo criado para dar mais segurança às suas contas: se você esqueceu a senha, em vez de recuperá-la apenas pelo computador, a instituição lhe manda um código via mensagem de celular para completar a recuperação (os dois fatores são o email e o número de celular).

Fica mais fácil ainda se todo o processo de recuperação de senhas for feito pelo celular: aí é apenas um fator para ser dominado pelos hackers.

Num ambiente assim inseguro, a Kraken, uma das mais antigas casas de câmbio de bitcoins, escreveu um relatório com recomendações para se precaver contra roubos. Entre seus conselhos estão manter um email exclusivo para as interações com a operadora de celular; comprar um celular exclusivo para a checagem de senhas (de preferência pré-pago, e pagar tanto o telefone quanto os créditos em dinheiro, para que os piratas não o rastreiem); ou arranjar um número de correio de voz do Google que você só usa para recuperar senhas, sem ligação com seu cartão de crédito nem com a sua identidade nas redes sociais.

Os celulares facilitam enormemente a nossa vida. O outro lado da moeda é que eles facilitam também a vida dos malfeitores.