O Departamento de Telecomunicações da Índia (DoT) emitiu uma determinação para que provedores de serviços de comunicação baseados em aplicativos garantam que suas plataformas só possam ser usadas com um chip ativo vinculado ao número móvel do usuário.
Com isso, aplicativos de mensagens como WhatsApp, Telegram, Snapchat, Arattai, Sharechat, Josh, JioChat e Signal — que utilizam números de celular indianos para identificar seus usuários, conhecidos como telecommunication identifier user entity (TIUE) — devem se adequar à norma em até 90 dias.
A alteração nas Telecommunications (Telecom Cyber Security) Rules de 2024 tem como objetivo combater o uso indevido desses identificadores em phishing, golpes e fraudes cibernéticas, além de reforçar a segurança no setor de telecomunicações.
Segundo o DoT, a exigência do SIM-binding é fundamental para fechar uma brecha explorada por criminosos em fraudes transfronteiriças.
“Contas em apps de mensagens instantâneas e chamadas continuam ativas mesmo após a remoção, desativação ou transferência do chip, o que facilita golpes anônimos, fraudes remotas de ‘prisão digital’ e chamadas de impostores se passando por autoridades indianas usando números locais”, informou o DoT em nota divulgada na segunda-feira.
Além disso, sessões longas em web ou desktop permitem que fraudadores controlem contas remotamente, sem precisar do dispositivo ou SIM original, dificultando rastreamento e bloqueios.
“Uma sessão pode ser autenticada uma única vez em um dispositivo na Índia e seguir funcionando no exterior, permitindo que criminosos executem golpes usando números indianos sem necessidade de nova verificação”, explica o comunicado.
A nova determinação obriga que:
- Os serviços de comunicação baseados em aplicativos estejam permanentemente vinculados ao SIM instalado no dispositivo, bloqueando o uso do app sem o chip ativo.
- As sessões web das plataformas de mensagens sejam desconectadas automaticamente a cada seis horas, exigindo que o usuário relogue e vincule o dispositivo via QR code, se necessário.
Com essa reautenticação periódica, o governo indiano pretende reduzir ataques de takeover de contas, usos indevidos para controle remoto e operações de contas interpostas (mule accounts).
A necessidade frequente de revalidação do dispositivo cria um obstáculo adicional, forçando os criminosos a comprovarem continuamente seu controle sobre a conta.
O DoT destaca ainda que essas regras garantem que toda conta ativa e suas sessões web estejam associadas a um SIM verificado pelo processo Know Your Customer (KYC), permitindo que as autoridades rastreiem números usados em golpes de phishing, investimentos fraudulentos, fraudes digitais de prisão e empréstimos suspeitos.
Vale lembrar que regras semelhantes de vinculação do SIM e logout automático já são aplicadas a aplicativos bancários e de pagamentos instantâneos que utilizam o sistema Unified Payments Interface (UPI) da Índia.
A recente exigência amplia essa política para incluir os apps de mensagens.
WhatsApp e Signal não se pronunciaram sobre a medida.
O anúncio ocorre poucos dias após o DoT revelar a criação da plataforma Mobile Number Validation (MNV), que visa conter a proliferação de contas interpostas e fraudes de identidade causadas por vínculos não verificados entre números móveis e serviços financeiros ou digitais.
Conforme a nova regra, solicitações na plataforma MNV podem ser feitas por um TIUE ou por órgãos governamentais.
“Esse mecanismo permite que provedores validem, por meio de uma plataforma descentralizada e que respeita a privacidade, se o número móvel usado em um serviço realmente pertence à pessoa cujas credenciais estão registradas — reforçando a confiança nas transações digitais”, conclui o DoT.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...