junho 15, 2021

[Segurança] Roubo de celulares e fraude bancária

Neste Domingo, 13/06, o jornal Folha de São Paulo publicou uma reportagem sobre um golpe que tem ocorrido com muita frequência atualmente (e há pelo menos um o 2 anos): o roubo de aparelhos celulares seguido pelo acesso as contas bancárias para roubo do dinheiro.

Segundo a reportagem, em São Paulo existem diversas quadrilhas especializadas em furtar os aparelhos celulares com o propósito específico de acessar os aplicativos bancários para subtração de valores das contas das vítimas. O principal alvo dos criminosos são os aparelhos que já estão desbloqueados pelos próprios usuários - e isso é super fácil de conseguir hoje em dia: com as pessoas que andam na rua distraídas usando o seu celular ou com os motoristas parados no trânsito, usando o Waze (basta um motoqueiro passar de lado, enfiar a mão pela janela e quando você percebe, seu celular já foi embora - desbloqueado).


O roubo de celulares é super frequente: na cidade de São Paulo, aonde são roubados pelo menos 527 celulares por dia (ou seja, um celular a cada 3 minutos). Segundo um levantamento do TecMundo, a Polícia Civil de São Paulo devolveu 1.907 celulares roubados aos seus donos no 1° semestre de 2021. Em 2020, o portal Mobile Time estimou que 102,4 milhões de celulares já haviam sido furtados ou roubados (com base em 2 mil pessoas entrevistadas).


Mas, nesse caso, estamos falando de quadrilhas especializadas em roubar celulares, preferencialmente desbloqueados, com o objetivo específico de acessar a conta bancária da vítima e transferir todo o dinheiro dela pelo app do banco. Os criminosos também se aproveitam da agilidade do Pix para transferir todo o saldo da conta da vítima e pulverizar em vários contas em nome de laranja. Se possível, o criminoso ainda pede empréstimo pelo app para conseguir roubar mais dinheiro ainda! Mesmo com as proteções de bloqueio do celular e o uso de biometria e senhas no app dos bancos, esse golpe está muito frequente, e assusta suas vítimas.

Ainda segundo a reportagem da Folha, os bancos não têm ressarcido as vítimas quando a fraude ocorre com o uso da senha pessoal, argumentando que ouve falha do cliente: "a obrigação dos clientes é guardar a senha. Se vazou, é porque a pessoa foi displicente na guarda".

Com o acesso ao celular, os criminosos também podem aproveitar que alguns apps de e-commerce mantém os dados de cartões salvos e não pedem senha de acesso, incluindo apps de delivery. Com isso, eles realizam diversas compras em nome da vítima.

Olha essa frase "matadora" reproduzida pela reportagem da Folha: "Isso está sendo feito por meio de um exército de hackers".

Na verdade, o golpe costuma ser muito mais simples, baseado na boa e velha engenharia social, combinada com péssimos hábitos de segurança da maioria da população. Os criminosos buscam uma forma de descobrir a senha do aparelho e do banco, e assim, conseguem concretizar a fraude. Em muitos casos, a senha é fácil de ser adivinhada ou está anotada no aparelho.

Com o celular roubado em mãos, se ele estiver desbloqueado os criminosos podem aproveitar para alterar a configuração de descanso de tela, para que ele não bloqueie por tempo de inatividade. Caso contrário, se o celular estiver bloqueado, os criminosos tentarão descobrir a senha de desbloqueio do aparelho.

E como eles conseguem descobrir as senhas das vítimas e realizar as transferências bancárias? Os bancos e a polícia são unânimes em apontar más práticas dos usuários nos cuidados básicos de segurança, que são explorados facilmente pelos criminosos, além da facilidade de explorar os recursos de recuperar senhas.
  • Uso de senhas fáceis: Esse é o principal problema. Afinal, as senhas de desbloqueio de celular e do app bancário costumam ser senhas numéricas curtas, de 4 ou 6 números. Junte a isso o fato de que a grande maioria das pessoas usa senhas fáceis de serem adivinhadas, como datas comemorativas (data de nascimento) e sequencias numéricas triviais (como 1234, 0000, etc). Além disso, é muito comum o reuso da senha: a mesma senha sendo utilizada em sites e aplicativos diferentes. E isso acontece também com a senha do banco: muitas pessoas usam a mesma senha em vários bancos diferentes, e se bobear, ainda vão usar essa mesma senha para desbloquear o celular. Dessa forma, se o criminoso descobrir uma única senha da vítima, conseguem ter acesso a muita coisa em seu aparelho;
  • Anotar a senha no aparelho celular: É comum que os usuários acabem armazenando suas senhas no próprio aparelho, anotadas em um bloco de notas, salvas no navegador ou até mesmo compartilhando suas senhas em mensagens instantâneas, no Whatsapp. Por isso, os criminosos usam o recurso de busca no aparelho para procurar por senhas. Para piorar, quando a pessoa usa uma data de nascimento como senha, o criminoso consegue descobrir a data olhando nos apps com documentos de identificação, como a carteira de motorista digital;
  • Recuperação da senha: Se o criminoso tiver dificuldade de adivinhar a senha, ele tenta recuperá-la, um recurso que pode ser facilmente explorado pelos fraudadores com acesso ao aparelho - afinal, a senha nova provavelmente será enviada por SMS ou e-mail, que o criminoso conseguirá visualizar no celular da vítima. Se o celular estiver desbloqueado, ele pode acessar seus e-mails (pois normalmente os apps ficam acessíveis sem senha) para pedir o reset das senhas de apps e serviços que você utiliza, que normalmente vão para o e-mail cadastrado (aquele que já está aberto no seu celular, lembra?). Se o reset de senha for por SMS e o celular estiver bloqueado. não tem problema: o criminoso simplesmente coloca o chip SIM em outro aparelho, dele mesmo, e acessa os sites e apps para pedir a recuperação da senha. Nesse caso, o SMS usado para recuperar a senha vai para o celular do criminoso. O envio de senhas por SMS é um recurso de 2o fator de autenticação muito popular, e nessa hora ele mostra sua fragilidade :(
  • Phishing para roubar a senha do celular: É comum que as vítimas, após terem seu celular roubado, comecem a receber mensagens de phishing simulando os alertas de que o celular foi encontrado. Esse golpe é muito usado para roubar a senha do iCloud ou Google Play, como por exemplo no recurso "Find my iPhone", da Apple. Ao acessar o link da mensagem, a vítima cai em um site falso e fornece sua senha para o criminoso;
  • É muito fácil burlar a biometria do seu aparelho celular: Para ser sincero, a biometria do seu aparelho é uma facilidade de uso, uma conveniência ou um "fru-fru", se preferir chamar assim. Ela não é um recurso de segurança, já que pode ser facilmente burlada. Isso porque, após algumas tentativas de leitura da sua digital ou face sem êxito, o aparelho pede a sua senha numérica. Se o criminoso descobre a senha do aparelho, ele consegue burlar a validação biométrica e, até mesmo, cadastrar a biometria dele no seu aparelho! E, pior ainda: a biometria do celular dá uma falsa sensação de segurança, pois o usuário acredita que seu app está protegido por biometria, quando na verdade esse recurso pode ser burlado facilmente.
Além disso, também existem especulações de que os criminosos possam ter acesso a alguma ferramenta ou técnica de jailbreak, ou explorar alguma vulnerabilidade para conseguir o acesso a aparelhos bloqueados - mas não há evidências sobre isso. Pelo contrário, os bancos e policiais que investigam esse crime são unânimes em apontar a fragilidade nas senhas. Eu também sou partidário da explicação mais simples: os criminosos tem uma pilha enorme de celulares roubados, e se não conseguirem descobrir a senha, simplesmente deixam o celular de lado e partem para o próximo aparelho na pilha.

O Procon-SP tomou as dores e questionou os bancos, a Febraban, as operadoras de telefonia e as fabricantes de celulares. Como resposta, ouviu que os aplicativos dos bancos oferecem os níveis necessários de segurança, mas os golpes acontecem por descuidos dos próprios clientes. Como resultado preliminar dessas conversas, o Procon teve a idéia de criar uma espécie de "central" para facilitar e agilizar o bloqueio de celulares roubados. A idéia deles é permitir que a vítima bloqueie seu aparelho, sua linha e suas contas bancárias rapidamente, logo após o roubo. A idéia parece boa, mas se não for feita com cuidado, alguém mal intencionado poderia solicitar o bloqueio da conta de outras pessoas.

Atualização em 07/07: Finalmente caiu a ficha da imprensa e eles perceberam que a fraude acontece porque os criminosos conseguem descobrir as senhas. A própria Folha de São Paulo publicou uma reportagem com o depoimento de um criminoso, que explica como consegue desbloquear os celulares - sem mágica, com pura engenharia social:
"(...) para conseguir o desbloqueio dos aparelhos, ele [o criminoso] retirava o chip do aparelho furtado e inseria-o em um outro aparelho desbloqueado. Na sequência, passava a fazer pesquisas nas redes sociais (especialmente Facebook e Instagram) para saber qual conta estava vinculado àquele número de linha. Na sequência, passava a procurar o endereço de email que a vítima utilizava para fazer o backup do conteúdo do aparelho, especialmente em nuvens a iCloud e Google Drive, procurado primeiro pelas extensões @gmail.com. Ao baixar as informações da nuvem no novo aparelho, passa a procurar ali informações ligadas a palavra “senha” e, segundo dele, obtém geralmente os números e acesso do celular e das contas bancárias. Ao obter essa informação, devolve o chip ao telefone celular da vítima e, com as senhas em mãos, repassa o aparelho para membro da quadrilha responsável pelo acesso às contas e transferência de tudo o que conseguir para contas bancárias de laranjas."
Outro detalhe interessante, exposto na reportagem da Folha: Quando conseguem roubar um aparelho celular desbloqueado, os criminosos acionam a câmera para impedir o travamento automático da tela. Em seguida, eles acionam o modo avião, para evitar o rastreamento.


Como evitar esse golpe?
  • Evite andar na rua usando o celular. Jamais use em vias públicas. Quando estiver andando, deixe ele guardado e só use em lugares seguros. Se estiver no carro, deixe o aparelho em um local mais escondido, longe da vista de quem está de fora do carro, ou no centro do painel;
  • Tenha dois celulares, um para o uso no dia-a-dia e outro só para uso com apps bancários e de compras online. Deixe o celular com apps bancários em casa e desinstale os aplicativos bancários do seu celular principal, de uso diário (com suas redes sociais, mapas, apps de comunicação etc);
  • Abra uma conta corrente em um outro banco, que vai ser a "conta do ladrão". Você pode optar, por exemplo, por um banco sem tarifas, e deixe nessa conta um pequeno saldo, com dinheiro suficiente para gastos emergenciais do dia-a-dia;
  • Cuide com carinho das suas senhas. Use senhas fortes, difíceis de serem adivinhadas, e não use a mesma senha em sites e apps diferentes;
  • Tenha cuidado redobrado com as senhas bancárias. Não use combinações numéricas óbvias (como datas e sequencias numéricas), use senhas diferentes para o cartão e para o app (nem senhas parecidas) e, se tiver conta em mais de um banco, use uma senha para cada, não reuse suas senhas bancárias!
  • Não anote suas senhas, nem compartilhe com outras pessoas. Não anote em blocos de notas, nem salve em apps. Se precisar compartilhar uma senha via WhatsApp, apague ela após a outra pessoa visualizar, assim pelo menos ela não aparece no seu histórico de conversas;
  • Não salve senha em navegadores e sites, através do nefasto recurso de "lembrar/salvar senha". Apesar da facilidade, qualquer pessoa com acesso ao aparelho consegue visualizar essas senhas salvas;
  • Não guarde fotos de documentos pessoais no seu celular, como carteira de identidade, CNH e nem mesmo fotos de seus cartões de crédito;
  • Coloque senha no seu chip SIM, para que ele não possa ser utilizado em outro aparelho e evitar que os criminosos consigam recuperar suas senhas;
  • Evite armazenar dados pessoais em seu celular, pois eles podem ser utilizados para descobrir suas senhas (nem deveria, né?) e também para obter mais informações sobre a vítima (você);
  • Habilte a opção de bloqueio de tela do celular, e sempre que possível deixe na configuração para bloqueio automático de forma rápida (por exemplo, 30 segundos) e com uso de senha alfanumérica;
  • Desabilite a notificação de mensagens no celular quando ele estiver com tela bloqueada. Assim o criminoso não consegue enviar SMS de recuperação de senha mesmo com seu celular bloqueado;
  • Verifique e diminua seus limites para transferência. Vários bancos permitem que você altere os seus limites diários de transferência bancária e via Pix. Se possível, diminua esses limites para valores bem baixos;
  • Se tiver o seu aparelho roubado:
    • Avise o seu banco imediatamente assim que tiver o seu celular roubado e peça para ele desabilitar o acesso na sua conta a partir do aparelho roubado;
    • Apague os dados do seu aparelho, remotamente (esse recurso existe para Android e iPhone);
    • Avise sua operadora e peça para bloquear sua linha e o IMEI do aparelho;
    • Faça um B.O. online ou na delegacia mais próxima.
Para saber mais:
PS: Post atualizado em 18, 19, 21, 22, 23, 29 e 30/06 e em 01 e 07/07. Atualizado em 21/10/2021.

3 comentários:

Unknown disse...

Útil e atemporal. Creio que as dicas e cuidados são sempre pertinentes, agradeço a contribuição.

Anônimo disse...

Show

Eduardo Fedorowicz disse...

Outra dica que me deram e achei interessante foi trocar seu chip da operadora pelo eSIM, em aparelhos com esta tecnologia.
Não é bala de prata, mas torna mais difícil a ativação da linhaem outro aparelho para recebimento de SMSs, dificulta ataques de engenharia social em contatos, além de habilitar outras vantagens práticas como a liberação de uso do simcard com uma segunda linha de serviço (ex: simcard de operadoras locais em viagens).

Obs: Se ainda assim achar melhor, o eSIM ainda permite o uso e troca de senha PIN para proteção adicional.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.