Roubo de celulares e fraude bancária tem ocorrido com muita frequência no Brasil

Fonte: [Segurança] Roubo de celulares e fraude bancária

golpe e roubo de aparelhos celulares e contas bancárias

No Domingo, 13/06, o jornal Folha de São Paulo publicou uma reportagem sobre um golpe que tem ocorrido com muita frequência atualmente (e há pelo menos um ou 2 anos): o roubo de aparelhos celulares seguido pelo acesso as contas bancárias para roubo do dinheiro.

Segundo a reportagem, em São Paulo existem diversas quadrilhas especializadas em furtar os aparelhos celulares com o propósito específico de acessar os aplicativos bancários para subtração de valores das contas bancárias das vítimas. O principal alvo dos criminosos são os aparelhos que já estão desbloqueados pelos próprios usuários – e isso é super fácil de conseguir hoje em dia: com as pessoas que andam na rua distraídas usando o seu celular ou com os motoristas parados no trânsito, usando o Waze (basta um motoqueiro passar de lado, enfiar a mão pela janela e quando você percebe, seu celular já foi embora – desbloqueado).

O roubo de celulares é super frequente: na cidade de São Paulo, são roubados pelo menos 527 celulares por dia (ou seja, um celular a cada 3 minutos).

Mas, nesse caso, estamos falando de quadrilhas especializadas em roubar celulares, preferencialmente desbloqueados, para então conseguir acessar a conta bancária da vítima e transferir todo o dinheiro dela pelo app do banco. Os criminosos também se aproveitam da agilidade do Pix para transferir todo o saldo da conta da vítima e pulverizar em vários contas bancárias em nome de laranjas. Se possível, o criminoso ainda pede empréstimo pelo app para conseguir roubar mais dinheiro ainda! Mesmo com as proteções de bloqueio do celular e o uso de biometria e senhas no app dos bancos, esse golpe está muito frequente, e assusta suas vítimas.

Ainda segundo a reportagem da Folha, os bancos não têm ressarcido as vítimas quando a fraude ocorre com o uso da senha pessoal, argumentando que ouve falha do cliente: “a obrigação dos clientes é guardar a senha. Se vazou, é porque a pessoa foi displicente na guarda”.

Olha essa frase “matadora” reproduzida pela Folha: “Isso está sendo feito por meio de um exército de hackers”.

Na verdade, o golpe costuma ser muito mais simples, baseado na boa e velha engenharia social, combinada com péssimos hábitos de segurança da maioria da população. Os criminosos buscam uma forma de descobrir a senha do aparelho e do banco, e assim, conseguem concretizar a fraude. Em muitos casos, a senha é fácil de ser adivinhada ou está anotada no aparelho.

E como eles conseguem descobrir as senhas e realizar as transferências bancárias?

Uso de senhas fáceis: Esse é o principal problema. Afinal, as senhas de desbloqueio de celular e do app bancário costumam ser senhas numéricas curtas, de 4 ou 6 números. Junte a isso o fato de que a grande maioria das pessoas usa senhas fáceis de serem adivinhadas, como datas comemorativas (data de nascimento) e sequencias numéricas triviais (como 1234, 0000, etc). Além disso, é muito comum o reuso da senha: a mesma senha sendo utilizada em sites e aplicativos diferentes. E isso acontece também com a senha do banco: muitas pessoas usam a mesma senha em vários bancos diferentes, e se bobear, ainda vão usar essa mesma senha para desbloquear o celular. Dessa forma, se o criminoso descobrir uma única senha da vítima, conseguem ter acesso a muita coisa em seu aparelho;

Anotar a senha no aparelho celular: É comum que os usuários acabem armazenando suas senhas no próprio aparelho, anotadas em um bloco de notas, salvas no navegador ou até mesmo compartilhando suas senhas em mensagens instantâneas, no Whatsapp. Por isso, os criminosos usam o recurso de busca no aparelho para procurar por senhas. Para piorar, quando a pessoa usa uma data de nascimento como senha, o criminoso consegue descobrir a data olhando nos apps com documentos de identificação, como a carteira de motorista digital;

• Recuperação da senha: Se o criminoso tiver dificuldade de adivinhar a senha, ele tenta recuperá-la, um recurso que pode ser facilmente explorado pelos fraudadores com acesso ao aparelho – afinal, a senha nova provavelmente será enviada por SMS ou e-mail, que o criminoso conseguirá visualizar no celular da vítima. Se o celular estiver desbloqueado, ele pode acessar seus e-mails (pois normalmente os apps ficam acessíveis sem senha) para pedir o reset das senhas de apps e serviços que você utiliza, que normalmente vão para o e-mail cadastrado (aquele que já está aberto no seu celular, lembra?). Se o reset de senha for por SMS e o celular estiver bloqueado. não tem problema: o criminoso simplesmente coloca o chip SIM em outro aparelho, dele mesmo, e acessa os sites e apps para pedir a recuperação da senha. Nesse caso, o SMS usado para recuperar a senha vai para o celular do criminoso. O envio de senhas por SMS é um recurso de 2o fator de autenticação muito popular, e nessa hora ele mostra sua fragilidade

Phishing para roubar a senha do celular: É comum que as vítimas, após terem seu celular roubado, comecem a receber mensagens de phishing simulando os alertas de que o celular foi encontrado. Esse golpe é muito usado para roubar a senha do iCloud ou Google Play, como por exemplo no recurso “Find my iPhone”, da Apple. Ao acessar o link da mensagem, a vítima cai em um site falso e fornece sua senha para o criminoso;

phishing roubo de senha de celular

É muito fácil burlar a biometria do seu aparelho celular: Para ser sincero, a biometria do seu aparelho é uma facilidade de uso, uma conveniência ou um “fru-fru”, se preferir chamar assim. Ela não é um recurso de segurança, já que pode ser facilmente burlada. Isso porque, após algumas tentativas de leitura da sua digital ou face sem êxito, o aparelho pede a sua senha numérica. Se o criminoso descobre a senha do aparelho, ele consegue burlar a validação biométrica e, até mesmo, cadastrar a biometria dele no seu aparelho! E, pior ainda: a biometria do celular dá uma falsa sensação de segurança, pois o usuário acredita que seu app está protegido por biometria, quando na verdade esse recurso pode ser burlado facilmente.

Como evitar esse golpe?

Evite andar na rua usando o celular. Jamais use quando estiver andando, deixe ele guardado e só use em lugares seguros. Se estiver no carro, deixe o aparelho em um local mais escondido, longe da vista de quem está de fora do carro, ou no centro do painel;

• Tenha dois celulares, um para o uso no dia-a-dia e outro só para uso com apps bancários e de compras online;

Cuide com carinho das suas senhas. Use senhas fortes, difíceis de serem adivinhadas, e não use a mesma senha em sites e apps diferentes;

Não anote suas senhas, nem compartilhe com outras pessoas;

Coloque senha no seu chip SIM, para que ele não possa ser utilizado em outro aparelho;

Evite armazenar dados pessoais em seu celular, pois eles podem ser utilizados para descobrir suas senhas (nem deveria, né?) e também para obter mais informações sobre a vítima (você);

Desabilite a notificação de mensagens no celular quando ele estiver com tela bloqueada. Assim o criminoso não consegue enviar SMS de recuperação de senha mesmo com seu celular bloqueado;

Verifique e diminua seus limites para transferência. Vários bancos permitem que você altere os seus limites diários de transferência bancária e via Pix. Se possível, diminua esses limites para valores bem baixos;

Se tiver o seu aparelho roubado:

  • Avise o seu banco imediatamente assim que tiver o seu celular roubado e peça para ele desabilitar o acesso na sua conta a partir do aparelho roubado;
  • Apague os dados do seu aparelho, remotamente (esse recurso existe para Android e iPhone);
  • Avise sua operadora e peça para bloquear sua linha e o IMEI do aparelho;
  • Faça um B.O. na delegacia mais próxima.

O que fazer antes que seu celular seja roubado

Enquanto seu celular está com você:

  1. Anote marca, modelo, IMEI e número de série do seu aparelho em algum lugar. Também o PIN e PUK do chip (vem no cartão). Pode ser mandando um e-mail para você mesmo e deixando-o lá para sempre.
  1. Utilize um bom código alfanumérico (letras e números). Nada de padrões de desenho (em Android) ou códigos numéricos como “1234”, “0000” ou afins. Jamais use um telefone sem código de bloqueio.
  1. Utilize autenticação de dois fatores em todas as suas contas de redes sociais e serviços de Internet (Facebook, Instagram, Gmail, etc), mas nunca por SMS, pois eles têm acesso ao chip quando obtêm seu telefone! Use sempre por aplicativo (recomendo o Authy porque você pode usar no desktop e no celular (e em outros dispositivos) – aí se perder o celular você ainda tem o app no desktop pra te dar os tokens).
  1. Imprima os códigos de recuperação do aplicativo de autenticação de dois fatores escolhido no passo acima e guarde em casa, porque com o celular você perde o aplicativo de autenticação de dois fatores junto!
  1. Habilite a autenticação de dois fatores (via PIN) no aplicativo do WhatsApp (Ajustes -> Conta -> Confirmação em duas etapas). Do contrário você pode ser vítima do golpe de falsidade ideológica que comentei no texto.
  1. Sempre habilite o Touch ID, reconhecimento facial ou senha para todos os aplicativos que suportam.
  1. Normalmente os de banco suportam. Para e-mails, sei que o Outlook suporta. Para notas, o Evernote suporta (o que o deixa mais seguro que o aplicativo de notas padrão do telefone). O WhatsApp também suporta. Dessa forma, mesmo que o gatuno roube seu telefone desbloqueado, não verá seu e-mail e não acessará os apps dos bancos.
  1. Habilite o PIN do chip (no iPhone esta configuração fica em Ajustes -> Celular -> PIN do SIM). Dessa forma, será solicitada uma senha quando o meliante colocar seu chip em outro aparelho. Lembrando que o chip já vem com um PIN da operadora, que você vai precisar para alterar. Os padrões são Vivo: 8486; TIM: 1010; Claro: 3636; Oi: 8888 mas o correto mesmo é ver no cartão do qual o chip é destacado quando vem. Todo cuidado é pouco aqui, pois é muito fácil bloquear o chip ao tentar desbloqueá-lo incorretamente 3 vezes. Aí só ligando pra operadora, ou usando o PUK para desbloquear.
  1. Desabilite a visualização de SMS na tela bloqueada (para que o conteúdo do SMS não seja mostrado). É uma boa ideia desabilitar quaisquer outras notificações também, ou pelo menos previnir que seu conteúdo seja exibido na tela bloqueada.
  1. Desabilite a Siri (iOS) na tela bloqueada (Ajustes -> Siri -> Permitir Quando Bloqueado).

Fonte: [Segurança] Roubo de celulares e fraude bancária

Posts relacionados: Ataques de phishing: defendendo a sua organização / O Brasil supera média global de roubo de contas de clientes no comércio eletrônico e Relatório da ENISA evidencia que ataques cibernéticos se tornaram mais sofisticados no período de pandemia