Em menos de duas horas, criminosos desviaram R$ 67 mil das contas de Marlon Luz, por meio de aplicativos de bancos. Telefone estava desbloqueado; segundo especialista em segurança digital, isso facilita para os bandidos na hora de obter dados e mudar senhas. Vereador Marlon Luz tem celular roubado e ladrões limpam conta bancĂĄria
O celular do vereador Marlon Luz (Patriotas) foi furtado na noite desta quinta-feira (17) quando o parlamentar saĂa da Câmara de São Paulo, no Centro de São Paulo. Em menos de duas horas, os criminosos desviaram R$ 67 mil de duas contas bancĂĄrias, por meio de aplicativos de bancos instalados no telefone.
Ao G1, Luz relatou que o carro estava parado em um congestionamento na Avenida 23 de Maio, com o celular iPhone X com a tela desbloqueada e aberto no aplicativo Waze. Nesse momento, um homem estourou o vidro e pegou o aparelho, que estava no painel. Uma câmera de segurança de dentro do veĂculo registrou a ação.
Poucos minutos depois, os criminosos invadiram duas contas bancĂĄrias do vereador no aplicativo do ItaĂș: uma de pessoa fĂsica, do Personnalité; e outra jurĂdica. Eles, então, transferiram R$ 67 mil para uma terceira conta do próprio vereador, no banco Original, que também foi invadida. Em seguida, os bandidos criaram uma chave PIX no app dessa Ășltima instituição e repassaram o dinheiro para cinco contas bancĂĄrias.
O vereador fez dois boletins de ocorrĂȘncia: um de furto qualificado e outro de estelionato, na delegacia especializada de crimes cibernéticos.
"O delegado me disse que se trata de uma quadrilha, com hackers, que rouba a senha pela forma como vocĂȘ digita os nĂșmeros no teclado. Os bancos me pediram cinco dias para darem uma anĂĄlise da situação", disse o vereador.
O G1 pediu à Secretaria de Estado de Segurança PĂșblica (SSP) uma entrevista com o delegado responsĂĄvel pelo caso para que ele explique como seria possĂvel que o acesso às senhas fosse feito pelos criminosos por meio da tela do celular. A pasta disse que iria se manifestar apenas por nota e afirmou que um inquérito policial para investigar o caso foi aberto pela Central Especializada de Repressão a Crimes e OcorrĂȘncias (Cerco) da 1ÂȘ Seccional.
"O policiamento ostensivo e preventivo na região serĂĄ reforçado. DiligĂȘncias são realizadas para identificar e responsabilizar o autor do crime", disse a SSP, em comunicado.
Segundo o vereador, os criminosos também tentaram invadir as suas contas bancĂĄrias do Banco do Brasil e do Santander, mas não conseguiram.
"Logo após o furto, eu pedi ajuda a uma viatura da PolĂcia Militar e tentei bloquear o celular (um Iphone X) pelo site da Apple. Mas o site não localizava o celular. Contudo, o celular continuava funcionando, eu tinha o WhatsApp aberto no computador e continuei recebendo as mensagens normalmente", disse o Luz.
"Eu nunca mais terei aplicativo de banco no celular. Não é seguro. É difĂcil, mas é a Ășnica coisa, não conseguem nos garantir segurança."
Procurado pelo G1, o ItaĂș afirmou que seu aplicativo "é seguro e toda transação, para ser aprovada, necessita obrigatoriamente de senha da conta corrente" (leia mais ao final deste texto). O Banco Original não retornou o contato até a Ășltima atualização desta reportagem.
JĂĄ a Federação Brasileira de Bancos (Febraban) afirmou que os aplicativos de bancos tĂȘm "elevado grau de segurança desde o seu desenvolvimento até a sua utilização, não existindo qualquer registro de violação dessa segurança".
Como os bandidos conseguem invadir contas?
Somente uma investigação poderĂĄ esclarecer o caso do vereador. O jornalista Altieres Rohr, que tem um blog sobre segurança digital no G1, explica que, quando um aparelho é pego desbloqueado, é mais fĂĄcil para os bandidos obterem dados e mudarem senhas que permitirão acesso a aplicativos como os de bancos. "Mesmo não tendo a senha, vocĂȘ tem tudo na mão pra redefinir a maioria delas", afirma.
Isso porque o aparelho guarda muitas informações que podem facilitar, por exemplo, que uma instituição reenvie uma senha ou redefina esse código por meio de confirmação usando dados como CPF, data de nascimento, nome dos pais etc., que são encontrĂĄveis em e-mails e redes sociais, entre outras ferramentas disponĂveis no celular.
Em seu site, o ItaĂș informa, por exemplo, que o processo de recuperação da senha eletrônica, usada para acessar seu aplicativo, exige a senha do cartão de débito, além dos nĂșmeros de agĂȘncia e conta corrente. Em seguida, o banco oferece a validação por SMS ou caixa eletrônico para concluir a mudança da senha do app.
O processo de recuperação de senha de acesso à conta do Banco Original consiste em enviar um e-mail para o cliente com um anexo que precisa ser desbloqueado por meio de um código enviado também por SMS. Este arquivo contém uma senha provisória que é usada para acessar a conta e redefinir a senha de acesso.
O risco de acesso indevido é ainda maior para quem mantém uma lista de senhas anotadas no próprio aparelho (num e-mail ou bloco de notas etc.).
"As pessoas se esquecem que todos os aplicativos de banco, além da autenticação biométrica, sempre vão dar uma forma de autenticação usando a senha numérica. Muitas vezes essa senha numérica estĂĄ anotada no celular", afirmou Fabio Assolini, analista sĂȘnior de segurança da Kaspersky.
Mas Marlon Luz afirmou ao G1 que esse não foi o seu caso.
Celulares desbloqueados permitem explorar falhas que podem dar acesso a praticamente tudo no telefone, violando certas medidas de segurança adotadas pelos apps, lembra Altieres Rohr.
Ele cita o caso do "checkm8", que explora uma vulnerabilidade no código de inicialização do chip, que não pode ser modificado após a fabricação. Por essa razão, a falha é considerada incorrigĂvel e pode afetar todos os modelos de iPhone desde o 4S até o X (excluindo, portanto, XR, XS e a linha 11 e 12), além de diversos modelos de iPad e Apple TV.
Rohr explica que é mais difĂcil usar o "checkm8" no iOS 14, a versão mais nova do sistema da Apple, o que também mostra a importância de manter o iOS atualizado, mesmo em modelos antigos. Porém, segundo ele, não é impossĂvel que essas dificuldades sejam superadas.
Celular roubado? Apague os dados imediatamente
A primeira providĂȘncia a ser tomada no caso de roubo ou perda, estando o aparelho desbloqueado ou não, é apagar os dados remotamente. Isso pode ser feito acessando as pĂĄginas que a Apple (no caso do iPhone) e o Google (para celulares com o sistema Android) criaram para localizar dispositivos perdidos.
Veja como fazer no iPhone
Veja como fazer no Android
Só depois de ter os dados apagados, comunique a operadora de que o aparelho foi roubado, para que sua linha seja bloqueada. Se vocĂȘ fizer isso antes de deletar os dados e a linha for cancelada e seu smartphone ficar sem internet, o comando para limpar o dispositivo não vai chegar.
O comando também não vai funcionar se o aparelho tiver sido colocado em modo avião após o roubo, o que pode ter sido o caso do vereador. No site, a Apple informa que "se o aparelho estiver off-line , ele serĂĄ apagado remotamente na próxima vez que estiver on-line".
Se o comando falhar, entre em contato com seu banco imediatamente e confirme que nenhuma atividade indevida foi realizada em sua conta. Troque também todas as senhas das contas cadastradas em seu smartphone, incluindo redes sociais e e-mail.
Por fim, siga estes passos:
registre um boletim de ocorrĂȘncia – procure o site da delegacia eletrônica do seu estado e faça um boletim de ocorrĂȘncia;
e bloqueie o IMEI do celular – com o boletim de ocorrĂȘncia, entre novamente em contato com a operadora para solicitar o bloqueio do IMEI. A partir do bloqueio do IMEI, o aparelho ficarĂĄ impedido de conectar a redes móveis, diminuindo as chances de que o ladrão possa revender ou utilizar o aparelho normalmente.
VĂDEO: Saiba o que fazer se seu celular for roubado
O que dizem os bancos
O ItaĂș diz que orienta aos clientes não anotar senhas em aplicativos, e-mails ou mensagens, além de não repetir senhas e sempre usar o bloqueio de tela do celular.
"Informamos ainda que todas as comunicações de golpes ou sinistros sofridos por nossos clientes são avaliadas de forma minuciosa e individualizada, não havendo, portanto, uma solução padrão para todos os casos", informou a instituição.
Por conta dos relatos de roubos de celulares para acessar aplicativos de bancos, o Procon-SP notificou instituições financeiras nesta sexta-feira (18), pedindo explicações sobre seus métodos de segurança.
Entre as empresas notificadas estão, ItaĂș, Bradesco, Santander, Caixa, Banco do Brasil, Nubank, Banco Inter, BMG, Banco Pan, C6 e Neon. A notificação também se estendeu à Febraban, à Associação Brasileira de Bancos (ABBC) e à Associação Brasileira de Fintechs (ABFintechs).
As instituições tĂȘm até 30 de junho para responderem aos questionamentos do órgão.
