Não é tecnologia, é manha: como bandido invade seu banco no celular roubado
Lucas Carvalho
De Tilt, em São Paulo
28/06/2021 04h00Atualizada em 29/06/2021 10h34
Sem tempo, irmão
- É pouco provável que quadrilhas estejam usando ferramentas avançadas para invadir celulares bloqueados
- Especialistas acreditam que bandidos estão se aproveitando de descuidos das vítimas para "limpar" contas
- Más práticas como repetir senhas e guardar dados pessoais dentro do celular facilitam a vida dos ladrões
Quadrilhas especializadas em roubar celulares para acessar os aplicativos de bancos e "limpar" as contas das vítimas têm se multiplicado em São Paulo, a ponto de chamar a atenção da Polícia Civil, do órgão de defesa ao consumidor Procon-SP e da imprensa. Mas como agem esses criminosos na prática?
Embora a polícia ainda esteja investigando e não tenha respostas concretas, especialistas da área de segurança digital ouvidos por Tilt acreditam que o mais provável é que criminosos estejam operando "na malandragem", se aproveitando de descuidos das vítimas, e não utilizando ferramentas avançadas de última geração.
"Na maioria das vezes, o roubo não passa por um mecanismo altamente 'tecnológico'", diz Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética) e presidente executivo da empresa de segurança digital Decript. Ele afirma que más práticas, como a de usar senhas repetidas em vários serviços online e não atualizar o sistema operacional do celular, podem permitir o acesso indevido a smartphones e contas bancárias.
Opinião semelhante é de Fabio Assolini, analista sênior de segurança da Kaspersky. "Essas quadrilhas não são muito tecnológicas. Tem vários ajustes finos que as pessoas podem fazer para deixar seus celulares, digamos, à prova [de invasão]. Mas como são muitos detalhes, sabemos que as pessoas não vão fazer tudo", afirma.
Segundo Daniel Barbosa, especialista em segurança da informação e pesquisador da empresa Eset no Brasil, "é infinitamente mais provável" que os criminosos se utilizem de técnicas de engenharia social (isto é, se aproveitar de deslizes da vítima) do que programas sofisticados que nem a polícia federal americana dispõe para quebrar a proteção de um celular em tempo recorde.
"Existe um conceito chamado 'low-hanging fruit' [a fruta mais baixa, ou mais fácil de ser alcançada, em tradução livre]. Consiste em seguir o caminho mais simples para se chegar a um objetivo e é muito usado por cibercriminosos", diz Barbosa.
O que explicaria, então, relatos de pessoas que juram ter tomado todos os cuidados e mesmo assim tiveram suas contas bancárias arrasadas por criminosos minutos após terem o celular roubado?
"Só não digo a você que é impossível porque sempre pode haver alguma possibilidade remota que não conseguimos ainda mapear nos testes e análises que fizemos [mais de 5 mil até agora]", argumenta Kin.
Como é o desbloqueio do celular roubado (e como protegê-lo)
Embora existam ferramentas no mercado que permitem forçar o desbloqueio de um celular — como os rootkits usados por peritos para investigar telefones —, esse processo é mais demorado, caro e complexo, ainda que as quadrilhas estejam usando "exércitos de hackers", como disse o diretor-executivo do Procon-SP, Fernando Capez, à Folha.
De acordo com a Polícia Civil de SP, os criminosos preferem roubar celulares que já estejam desbloqueados — como foi o caso do vereador paulistano Marlon Luz (Patriotas), que teve seu aparelho roubado enquanto usava o GPS do dispositivo no trânsito da capital paulista.
"O fato de os atacantes terem se concentrado em roubar dispositivos móveis que já estavam desbloqueados, como quando roubaram dispositivos com o Waze em execução [que mantém o dispositivo com acesso liberado a demais apps], indica que eles se concentraram em técnicas simples, sem a necessidade de softwares de quebra de senha de última geração", reforça Israel Wernik, pesquisador da Check Point Research.
Mas mesmo que o celular roubado esteja devidamente bloqueado, não é tão difícil desbloqueá-lo. Segundo Fabio Assolini, da Kaspersky, eles podem procurar informações da vítima no próprio celular, como uma ficha médica de emergência que pode ser acessada sem o desbloqueio e que pode constar, entre outras informações, a data de nascimento do dono do aparelho, ou podem simplesmente chutar algumas combinações populares — E datas de nascimento costumam ser muito usadas como senhas.
Pelo levantamento anual da empresa de segurança Nordpass, por exemplo, a senha "123456" é a mais usada do mundo — em 2020, mais de 2,5 milhões de pessoas tiveram dados vazados na internet usando essa combinação (que já é conhecida há anos). Outras sequências simples de números também aparecem no ranking das piores senhas.
A dica dos especialistas é evitar o uso de combinações repetidas — se a sua senha já vazou de algum lugar antes, é recomendável nunca mais usá-la em nenhum outro lugar. Outras dicas:
- esconda o conteúdo das notificações na tela de bloqueio (algumas, como de mensagens, podem incluir códigos de autenticação em duas etapas);
- configure o celular para não permitir que o controle do Wi-Fi e do 4G seja acessado com o aparelho bloqueado (criminosos desligam a internet para evitar a formatação remota);
- ajuste o tempo de tela do telefone para que ele seja bloqueado após alguns segundos sem usar -- ou mínimo de tempo possível permitido pelo sistema.
Como ladrões entram no seu app de banco (e como protegê-lo)
Segundo a Febraban (Federação Brasileira de Bancos), mais da metade de todas as operações bancárias feitas no Brasil em 2020 foram realizadas pelo celular. O problema é que muitas dessas pessoas ainda não tomam todos os devidos cuidados para proteger suas carteiras virtuais.
"Muitas das vítimas anotam dados de senha de cartão e de banco no próprio bloco de notas, facilitando essa limpa das contas", explica a engenheira de segurança Daiane Santos. Mas mesmo que a senha não esteja anotada em algum app do celular, não é tão difícil criar uma nova para o criminoso que já está com seu celular em mãos.
"Como alguns bancos também utilizam email para recuperação de senha ou canal oficial de comunicação, e muitas vezes esse email está cadastrado no celular da vítima, o criminoso consegue realizar uma engenharia social contra a própria instituição financeira, se passando pela vítima e solicitando transações ou trocas de senha", diz Daiane.
"Se precisar de dados pessoais, como data de nascimento e CPF, muitas vezes eles podem ser encontrados no próprio celular da pessoa, seja em mensagens, email ou nos dados de saúde que algumas vezes ficam registrados para emergências."
Daiane Santos, engenheira de segurança
Ainda existe a possibilidade de que criminosos usem programas dedicados para quebrar a proteção dos apps de bancos com base em brechas antigas ou ainda não descobertas. No caso de alguns celulares roubados, essas brechas talvez ainda não tenham sido corrigidas porque o dono do telefone não atualizou seus aplicativos.
Mesmo assim, a principal arma continua sendo a manjada (porém efetiva) engenharia social, explica Denis Riviello, especialista em cibersegurança e diretor da Compugraf. "Utilizar um software ou equipamento que consiga quebrar [a proteção dos apps de banco] é muito custoso, envolve engenharia avançada e um conhecimento muito específico. Eu não acho que isso já tenha chegado às mãos dos criminosos."
O custo não é só financeiro, mas de tempo. Segundo Hiago Kin, colocar em prática toda a engenharia necessária para "arrombar" as portas de um aplicativo bancário pode levar semanas. Mas tomar proveito descuidos das vítimas, dados vazados ou aplicar um golpe nas instituições financeiras leva minutos. "É neste curto espaço de tempo entre a vítima pedir socorro e bloquear a conta do banco e do celular que os criminosos atuam — o que leva cerca de 40 minutos", diz o presidente da Abraseci.
Para garantir mais segurança aos seus apps bancários, as dicas dos entrevistados são:
- configure seu app de banco para pedir não só a senha, mas o número da conta e da agência sempre que for aberto;
- não guarde fotos de documentos ou de cartões de crédito na galeria (eles podem facilitar a vida do ladrão que ligar no banco para criar uma senha nova);
- não use senhas repetidas (vale para todas as suas contas digitais);
- mantenha seus apps e o sistema do celular sempre atualizados para corrigir possíveis brechas de segurança.
Mesmo tomando esses cuidados preventivos, é importante correr para limpar suas informações remotamente caso seu celular vá parar nas mãos de ladrões. Veja aqui o que você precisa fazer imediatamente se seu aparelho for roubado.