Celular roubado com tela desbloqueada gera prejuízo de R$ 22,5 mil a vítima

O jornalista Sandro Leal (nome fictício para proteger a identidade) nunca imaginou que uma ligação a um quarteirão de casa, no bairro de Santa Cecília, em São Paulo, trouxesse tanta dor de cabeça. Um rapaz passou de bicicleta e tomou o aparelho de suas mãos. Perdeu não só seu novo iPhone 11 como percebeu algo pior: o celular foi roubado com a tela desbloqueada, o que causou prejuízos financeiros muito maiores —mais de R$ 22,5 mil, no caso dele.

Assim como Leal, muitos de nós não estamos preparados para fechar as brechas sensíveis do celular se ele for roubado com a tela desbloqueada. Leal lamentou sobretudo o que rolou com o banco, já que ele usava a ferramenta de reconhecimento facial do app para entrar na conta e julgava ser algo seguro.

Relacionadas

Contra crimes: por que Uber exigirá RG de passageiros antes da viagem

Spear phishing: entenda ataque que atingiu famosos no Twitter e previna-se

Receba notícias de Tilt em seu WhatsApp

Os R$ 22,5 mil perdidos foram via empréstimos e transferências realizadas pelo criminoso a partir da conta da vítima em um aplicativo bancário. Outro dano foi uma compra de R$ 300 no Uber Eats, com R$ 40 de gorjeta ao entregador. "A primeira impressão que tive é que a segurança de app é muito ruim, nunca mais vou ter um app de banco no meu celular. É a mesma coisa que eu estar saindo por aí com dinheiro na mão", reclama.

O jornalista até fez um boletim de ocorrência virtual e entrou em contato com a operadora para bloquear o número. Já sobre o iPhone, ele havia feito um seguro, portanto recuperaria rapidamente o dinheiro. O problema seria a odisseia para provar que não foi ele quem puxou aquela grana do banco.

Problemas com a operadora

Como sabemos, uma das primeiras coisas a se fazer após roubo de celular é informar a operadora para que o número seja bloqueado. De acordo com o jornalista, foi o que ele fez. Leal informou o roubo para a namorada, que imediatamente entrou em contato com a operadora.

Mas, ele conta que a Vivo não cancelou seu número de imediato. Isso manteve o WhatsApp ativo, fazendo com que muitos contatos recebessem mensagens indevidas.

Leal afirma que contatou de novo a operadora assim que chegou em casa para cancelar o IMEI (sigla em inglês para identificação internacional de equipamento móvel), o que bloquearia totalmente o aparelho. Precisou de mais uma tentativa até que conseguisse ser atendido.

Em contato com Tilt, a Vivo reforçou seu protocolo em caso de furto do celular: o cliente deve solicitar à operadora o bloqueio da linha e do aparelho. Caso não tenha o número do IMEI, o cliente "poderá efetuar o bloqueio informando o número da linha telefônica".

Questionada sobre o fato de o jornalista ter feito mais de uma tentativa antes de conseguir o bloqueio, a operadora disse que "a Anatel [Agência Nacional de Telecomunicações] regulamenta que o bloqueio do IMEI deve ocorrer em até 24 horas".

Uber Eats

Poucas horas após ter o aparelho roubado, o jornalista recebeu um email confirmando uma compra realizada por meio do Uber Eats no valor de R$ 300, entregue em uma rua na região da Santa Efigênia.

Na descrição do pedido estavam duas caixas com dez unidades de brigadeiro, dois brigadeiros de morango, dois brigadeiros de Oreo, duas paçocas, uma Coca-Cola e quatro pães de mel. Após a entrega, o faminto criminoso ainda deu R$ 40 de gorjeta ao entregador.

"Como era um iPhone 11, meu cartão estava registrado na Apple Pay [plataforma de compras por celular da Apple]. Assim que recebi a notificação, cancelei meu cartão. Pensei: se pediram R$ 300 em brigadeiro, estou ferrado", conta o jornalista.

O site do Uber Eats dizia que eu tinha que entrar no aplicativo do celular para que eu não reconhecesse a compra, mas eu estava sem celular, então não consegui reclamar por algo que não fiz. Tanto que tive de pagar os R$ 300

Procurado, o Uber Eats disse que já resolveu a situação junto ao jornalista e que o estorno, agora, depende do banco. Leal disse que teve de pagar os R$ 300 e ainda recebeu uma nova cobrança com relação à gorjeta de R$ 40 no mês de setembro.

Já a Apple não respondeu às perguntas da reportagem e limitou-se a enviar um site com as políticas de privacidade dos seus produtos. O conteúdo diz que a fabricante "recebe dados criptografados sobre a transação [de compras na plataforma] e, antes de enviar para o desenvolvedor, codifica tudo novamente usando uma chave específica que só o desenvolvedor conhece".

O mesmo site defende a segurança da empresa, dizendo que os números dos cartões de crédito "nunca são armazenados no aparelho nem nos servidores da Apple. Em vez disso, um Número de Conta de Aparelho é criado". Além disso, diz que nem a Apple nem o iPhone compartilham o número do cartão de crédito ou de débito com os estabelecimentos.

Problemas com banco

Como muitos usuários, Leal tinha apps bancários instalados em seu smartphone, e foi um deles que gerou a maior dor de cabeça. Primeiro, o ladrão fez muitas tentativas para acessar o app do Itaú, o mais usado pela vítima, o que acabou bloqueando o acesso.

Uma semana após o roubo, o jornalista recebeu uma cobrança por SMS de uma fatura que não havia sido paga. O problema é que o pagamento estava agendado para débito automático no Bradesco, outro aplicativo que ele tinha no celular.

"Não mexo na conta e tenho um limite de cheque especial alto, não era para ter voltado. Pensei: 'será que conseguiram entrar na minha conta e sacaram?' Consegui ligar para o banco e descobri valores absurdos", diz.

Para espanto de Leal, ao entrar em contato com o banco, valores muito altos foram retirados de sua conta.

Fizeram três empréstimos. Um de RS 15.528, um de R$ 988 e um R$ 3.120. Na sequência realizaram quatro transferências bancárias, uma de R$ 4.177,20, outra de R$ 10.400, a terceira de R$ 4.999,99. E, por fim, uma de R$ 3.003 para quatro pessoas diferentes, as quatro correntistas do Bradesco. Limparam meu limite especial, mais o valor dos empréstimos

De acordo com Leal, o aplicativo do Bradesco permitia que ele entrasse usando apenas o reconhecimento facial, sem solicitação de senha com dígitos.

"Eu jamais iria imaginar que em um aplicativo do banco, uma coisa que é para ser a mais segura do mundo, um bandido conseguiria fazer três empréstimos, depois quatro transferências. Já teve vezes que eu fiz uma compra à vista e o gerente me ligou perguntando se eu tinha feito mesmo a compra, por conta do valor. Agora, numa situação de um terceiro fazendo isso, não tem nada disso? Eu estou chocado mesmo", reclamou.

Ele procurou o banco para saber o que pode fazer para reaver o dinheiro e não ter de pagar os empréstimos. Segundo ele, inicialmente, o Bradesco deu prazo de 15 dias úteis para resolver a situação, mas, vencido o prazo, pediu mais 15 dias para analisar o ocorrido. A resposta deve ser dada até 1º de outubro.

Em contato com Tilt, o Bradesco afirmou que "o uso do reconhecimento facial é de escolha do cliente e não substitui o uso da senha de acesso e do Dispositivo de Segurança [recurso que fica no aplicativo do banco e gera um código para transações], que ficam armazenados no aparelho, em cofre de senha, que é acessado exclusivamente com a biometria cadastrada no aparelho".

Além disso, o banco informou que se houver alteração da biometria facial ou de impressão digital, a senha e dispositivo de segurança "são automaticamente apagados/desvinculados do aparelho". Caso o cliente opte por vinculá-los novamente, será feito "de forma segura, com uso de senhas".

A Apple afirma em seu site que o reconhecimento facial é "totalmente processado no seu aparelho, e não na nuvem. A Apple não sabe o conteúdo das suas fotos, e os apps só podem ter acesso a elas com sua permissão".

Como tudo isso aconteceu?

Como o jornalista tinha o cartão de crédito cadastrado no Apple Pay, ele acredita que essa foi a forma usada para a compra dos brigadeiros.

Mas e os empréstimos e transferências bancárias? Segundo Leal, o delegado de polícia que o atendeu disse que uma das possibilidades é que o ladrão tenha entrado no aplicativo por meio do reconhecimento facial. "Eles teriam usado uma das fotos minha que estavam no celular e, com essa foto, acessar", disse.

O Bradesco informou que o reconhecimento facial é uma "funcionalidade do fabricante de cada aparelho celular e não do Aplicativo do Banco. Como regra, têm funcionalidades que impedem a utilização de fotos no reconhecimento".

Tilt pediu para duas empresas de segurança digital —a Kryptus e uma outra que não quis se identificar— simularem uma invasão ao app por reconhecimento facial. Os especialistas afirmaram não ser possível enganar o reconhecimento facial usando fotos que já estão nos celulares.

A Secretaria de Segurança Pública do Estado de São Paulo disse que "diligências estão em andamento em busca de elementos que auxiliem na identificação da autoria. Somente no mês de agosto, dez pessoas foram presas em flagrante por receptação, furto e roubo de celulares na mesma região apontada [Santa Cecília]".

Questionado como seria possível realizar empréstimos e transferências bancárias no aplicativo sem que o usuário deixe a senha no aparelho, o órgão não respondeu. Foi pedida uma entrevista com um delegado especialista no caso, mas a solicitação não foi atendida.

O que dizem os especialistas

Profissionais de cibersegurança acham difícil os criminosos terem alterado o reconhecimento facial ou usado fotos para acessar a conta. "Aplicativos de banco costumam ser muito seguros", diz Daniel Cunha Barbosa, especialista em segurança da informação da Eset Brasil.

De acordo com Barbosa, uma das hipóteses é entrar em contato com o banco, se passando pela vítima remotamente. "O criminoso fala, 'olha, sou fulano, quero fazer uma solicitação de empréstimo'. Às vezes pelo próprio chat do banco conseguem fazer isso", disse.

Já André Osti, especialista em cibersegurança da Kryptus, afirmou que, sem analisar o ataque detalhadamente, é difícil dizer como foi feito. "Mas as tentativas de fraudes no setor bancário e financeiro evoluem muito rapidamente. É importante que os bancos e instituições financeiras estejam um passo à frente em cibersegurança".

De acordo com ele, contudo, o banco deveria identificar, por meio de sistema antifraude, que uma determinada transação saiu fora do padrão do perfil do usuário. É algo conhecido no meio como biometria comportamental, que analisa diversas informações do momento da transação, como geolocalização, horário da transação e valores fora do comum. "Nesses casos, a operação poderia ser negada ou necessitar de autenticação adicional por parte do usuário para ser concretizada", disse.

Sobre a compra de brigadeiros no Uber Eats, Daniel Cunha Barbosa acha que se trata de um golpe orquestrado com outras pessoas. Por exemplo, uma loja que venda qualquer coisa pelo aplicativo. O criminoso a procura e acerta dividir metade do valor da compra com ela. "Simulou-se uma entrega em um local eventual e normalmente ninguém vai procurar", afirmou.

Como se proteger?

Roubos como o que ocorreu com Leal são muito comuns em festas com aglomerações, como o Carnaval ou em festivais de rua. De acordo com o especialista da Eset Brasil, uma das principais ações é ter um software com recurso antifurto.

"O próprio iPhone tem configurações para o bloqueio do telefone. Para Android há softwares que fazem tanto o bloqueio quanto apagam o celular remotamente para não ficar à mercê dos criminosos", sugere Barbosa.

Outra recomendação é lembrar quais aplicativos de banco estavam instalados no celular, cancelar os cartões de débito e crédito que estavam cadastrados e ainda fazer o bloqueio de aplicativos como iFood, Uber Eats e Uber. "Se possível, configure senha em aplicativos importantes, mas caso não tenha, procure esses apps para fazer a exclusão da conta e o bloqueio. Porque quando alguém tentar usar, será bloqueado", diz.