Em menos de duas horas, criminosos desviaram R$ 67 mil das contas de Marlon Luz, por meio de aplicativos de bancos. Telefone estava desbloqueado; segundo especialista em segurança digital, isso facilita para os bandidos na hora de obter dados e mudar senhas. Vereador Marlon Luz tem celular roubado e ladrões limpam conta bancária
O celular do vereador Marlon Luz (Patriotas) foi furtado na noite desta quinta-feira (17) quando o parlamentar saía da Câmara de São Paulo, no Centro de São Paulo. Em menos de duas horas, os criminosos desviaram R$ 67 mil de duas contas bancárias, por meio de aplicativos de bancos instalados no telefone.
Ao G1, Luz relatou que o carro estava parado em um congestionamento na Avenida 23 de Maio, com o celular iPhone X com a tela desbloqueada e aberto no aplicativo Waze. Nesse momento, um homem estourou o vidro e pegou o aparelho, que estava no painel. Uma câmera de segurança de dentro do veículo registrou a ação.
Poucos minutos depois, os criminosos invadiram duas contas bancárias do vereador no aplicativo do Itaú: uma de pessoa física, do Personnalité; e outra jurídica. Eles, então, transferiram R$ 67 mil para uma terceira conta do próprio vereador, no banco Original, que também foi invadida. Em seguida, os bandidos criaram uma chave PIX no app dessa última instituição e repassaram o dinheiro para cinco contas bancárias.
O vereador fez dois boletins de ocorrência: um de furto qualificado e outro de estelionato, na delegacia especializada de crimes cibernéticos.
“O delegado me disse que se trata de uma quadrilha, com hackers, que rouba a senha pela forma como você digita os números no teclado. Os bancos me pediram cinco dias para darem uma análise da situação”, disse o vereador.
O G1 pediu à Secretaria de Estado de Segurança Pública (SSP) uma entrevista com o delegado responsável pelo caso para que ele explique como seria possível que o acesso às senhas fosse feito pelos criminosos por meio da tela do celular. A pasta disse que iria se manifestar apenas por nota e afirmou que um inquérito policial para investigar o caso foi aberto pela Central Especializada de Repressão a Crimes e Ocorrências (Cerco) da 1ª Seccional.
“O policiamento ostensivo e preventivo na região será reforçado. Diligências são realizadas para identificar e responsabilizar o autor do crime”, disse a SSP, em comunicado.
Segundo o vereador, os criminosos também tentaram invadir as suas contas bancárias do Banco do Brasil e do Santander, mas não conseguiram.
“Logo após o furto, eu pedi ajuda a uma viatura da Polícia Militar e tentei bloquear o celular (um Iphone X) pelo site da Apple. Mas o site não localizava o celular. Contudo, o celular continuava funcionando, eu tinha o WhatsApp aberto no computador e continuei recebendo as mensagens normalmente”, disse o Luz.
“Eu nunca mais terei aplicativo de banco no celular. Não é seguro. É difícil, mas é a única coisa, não conseguem nos garantir segurança.”
Procurado pelo G1, o Itaú afirmou que seu aplicativo “é seguro e toda transação, para ser aprovada, necessita obrigatoriamente de senha da conta corrente” (leia mais ao final deste texto). O Banco Original não retornou o contato até a última atualização desta reportagem.
Já a Federação Brasileira de Bancos (Febraban) afirmou que os aplicativos de bancos têm “elevado grau de segurança desde o seu desenvolvimento até a sua utilização, não existindo qualquer registro de violação dessa segurança”.
Como os bandidos conseguem invadir contas?
Somente uma investigação poderá esclarecer o caso do vereador. O jornalista Altieres Rohr, que tem um blog sobre segurança digital no G1, explica que, quando um aparelho é pego desbloqueado, é mais fácil para os bandidos obterem dados e mudarem senhas que permitirão acesso a aplicativos como os de bancos. “Mesmo não tendo a senha, você tem tudo na mão pra redefinir a maioria delas”, afirma.
Isso porque o aparelho guarda muitas informações que podem facilitar, por exemplo, que uma instituição reenvie uma senha ou redefina esse código por meio de confirmação usando dados como CPF, data de nascimento, nome dos pais etc., que são encontráveis em e-mails e redes sociais, entre outras ferramentas disponíveis no celular.
Em seu site, o Itaú informa, por exemplo, que o processo de recuperação da senha eletrônica, usada para acessar seu aplicativo, exige a senha do cartão de débito, além dos números de agência e conta corrente. Em seguida, o banco oferece a validação por SMS ou caixa eletrônico para concluir a mudança da senha do app.
O processo de recuperação de senha de acesso à conta do Banco Original consiste em enviar um e-mail para o cliente com um anexo que precisa ser desbloqueado por meio de um código enviado também por SMS. Este arquivo contém uma senha provisória que é usada para acessar a conta e redefinir a senha de acesso.
O risco de acesso indevido é ainda maior para quem mantém uma lista de senhas anotadas no próprio aparelho (num e-mail ou bloco de notas etc.).
“As pessoas se esquecem que todos os aplicativos de banco, além da autenticação biométrica, sempre vão dar uma forma de autenticação usando a senha numérica. Muitas vezes essa senha numérica está anotada no celular”, afirmou Fabio Assolini, analista sênior de segurança da Kaspersky.
Mas Marlon Luz afirmou ao G1 que esse não foi o seu caso.
Celulares desbloqueados permitem explorar falhas que podem dar acesso a praticamente tudo no telefone, violando certas medidas de segurança adotadas pelos apps, lembra Altieres Rohr.
Ele cita o caso do “checkm8”, que explora uma vulnerabilidade no código de inicialização do chip, que não pode ser modificado após a fabricação. Por essa razão, a falha é considerada incorrigível e pode afetar todos os modelos de iPhone desde o 4S até o X (excluindo, portanto, XR, XS e a linha 11 e 12), além de diversos modelos de iPad e Apple TV.
Rohr explica que é mais difícil usar o “checkm8” no iOS 14, a versão mais nova do sistema da Apple, o que também mostra a importância de manter o iOS atualizado, mesmo em modelos antigos. Porém, segundo ele, não é impossível que essas dificuldades sejam superadas.
Celular roubado? Apague os dados imediatamente
A primeira providência a ser tomada no caso de roubo ou perda, estando o aparelho desbloqueado ou não, é apagar os dados remotamente. Isso pode ser feito acessando as páginas que a Apple (no caso do iPhone) e o Google (para celulares com o sistema Android) criaram para localizar dispositivos perdidos.
Veja como fazer no iPhone
Veja como fazer no Android
Só depois de ter os dados apagados, comunique a operadora de que o aparelho foi roubado, para que sua linha seja bloqueada. Se você fizer isso antes de deletar os dados e a linha for cancelada e seu smartphone ficar sem internet, o comando para limpar o dispositivo não vai chegar.
O comando também não vai funcionar se o aparelho tiver sido colocado em modo avião após o roubo, o que pode ter sido o caso do vereador. No site, a Apple informa que “se o aparelho estiver off-line , ele será apagado remotamente na próxima vez que estiver on-line”.
Se o comando falhar, entre em contato com seu banco imediatamente e confirme que nenhuma atividade indevida foi realizada em sua conta. Troque também todas as senhas das contas cadastradas em seu smartphone, incluindo redes sociais e e-mail.
Por fim, siga estes passos:
registre um boletim de ocorrência – procure o site da delegacia eletrônica do seu estado e faça um boletim de ocorrência;
e bloqueie o IMEI do celular – com o boletim de ocorrência, entre novamente em contato com a operadora para solicitar o bloqueio do IMEI. A partir do bloqueio do IMEI, o aparelho ficará impedido de conectar a redes móveis, diminuindo as chances de que o ladrão possa revender ou utilizar o aparelho normalmente.
VÍDEO: Saiba o que fazer se seu celular for roubado
O que dizem os bancos
O Itaú diz que orienta aos clientes não anotar senhas em aplicativos, e-mails ou mensagens, além de não repetir senhas e sempre usar o bloqueio de tela do celular.
“Informamos ainda que todas as comunicações de golpes ou sinistros sofridos por nossos clientes são avaliadas de forma minuciosa e individualizada, não havendo, portanto, uma solução padrão para todos os casos”, informou a instituição.
Por conta dos relatos de roubos de celulares para acessar aplicativos de bancos, o Procon-SP notificou instituições financeiras nesta sexta-feira (18), pedindo explicações sobre seus métodos de segurança.
Entre as empresas notificadas estão, Itaú, Bradesco, Santander, Caixa, Banco do Brasil, Nubank, Banco Inter, BMG, Banco Pan, C6 e Neon. A notificação também se estendeu à Febraban, à Associação Brasileira de Bancos (ABBC) e à Associação Brasileira de Fintechs (ABFintechs).
As instituições têm até 30 de junho para responderem aos questionamentos do órgão.
Comentar