Roubo de celular para limpar contas bancárias cresce; é possível se proteger?

O AllowMe tem sido procurado pelos maiores veículos de comunicação do Brasil para comentar uma modalidade de golpe que cresce consideravelmente: criminosos roubam telefones celulares e, em vez de revender o smartphone, acessam o aparelho, invadem apps de contas digitais e drenam o saldo da vítima com transferências instantâneas.

A pergunta que mais ouvi nas últimas entrevistas foi: “de quem é a culpa”? A resposta para esta pergunta é muito complexa para mim, para outros especialistas em proteção de identidades digitais, para profissionais de prevenção à fraude e até mesmo o Deep Tought – aquele supercomputador do Guia do Mochileiro das Galáxias que respondeu “42” quando questionado qual a resposta para o sentido da vida, o universo e tudo mais. E, parafraseando a obra-prima de Douglas Adams, será que estamos fazendo a pergunta correta?

Precisei escrever este artigo para organizar melhor e registrar algumas ideias sobre tudo o que já comentamos nas entrevistas recentes à imprensa. E para listar algumas dicas de prevenção para todos nós, que estamos suscetíveis a este tipo de golpe.

Como funciona o golpe?

Se antes criminosos roubavam telefones celulares para rapidamente revender o aparelho ou suas peças, o modus operandi parece ter mudado. Percebeu-se que um smartphone não é apenas um aparelho eletrônico de alto valor agregado, mas sim um pedaço importante do ser humano do século 21. E também uma ponte entre este indivíduo e todas as suas economias (ou grande parte delas).

Ou seja: criminosos perceberam que podem faturar muito mais acessando o aparelho do que simplesmente depenando e revendendo-o. Esta invasão é facilitada se o telefone celular estiver desbloqueado no momento do roubo, ou até mesmo se o padrão de desbloqueio for extremamente óbvio: desenhos em Z, M ou Σ (sigma), códigos como 1234, 0000 e afins, além de informações públicas como data de nascimento, o ano, etc…

Infomoney: criminosos roubam celulares e limpam contas bancárias; como se proteger?

Com acesso ao conteúdo do smartphone, estes criminosos entram em aplicativos de bancos ou contas digitais. Como? Muito provavelmente encontrando algum arquivo de texto com todas as senhas que muitos de nós costumamos guardar “por conveniência” no aparelho ou em nossos e-mails. É possível ainda que eles decidam deduzir a senha baseando-se em informações públicas ou que estão no próprio dispositivo – no iPhone é possível colocar informações médicas, por exemplo.

“Mas eu protejo meus acessos com biometria (facial e/ou digital)”, podem dizer. Exatamente. Mas esta proteção é, basicamente, uma conveniência do sistema para melhorar a usabilidade do aplicativo, e não por segurança. Em muitos casos, se o usuário “errar” a biometria por três vezes consecutivas (por dedos molhados, problema nos leitores, pouca iluminação etc) surge imediatamente o desbloqueio por senha.

Caso o criminoso não consiga acesso a nenhuma senha da vítima do celular roubado, há ainda uma possibilidade para ele: é possível colocar o chip do usuário em outro smartphone e solicitar o 2FA por SMS. Assim seria possível que o fraudador acesse os aplicativos e conseguisse dar sequência ao golpe.

Você pode até se perguntar: não seria o caso então de termos mais camadas de proteção? Claro! Os níveis de autenticação poderiam ser mais rígidos? Sim, certamente que sim. Mas será que, neste caso, valeria a pena usá-los pela praticidade?

“Insira a sua digital. Agora a senha de 4 dígitos. Agora, a senha de 6 dígitos. Agora sorria para a câmera. Agora coloque o número do token de chaveirinho. Agora responda qual o nome do seu melhor amigo aos 6 anos de idade. Agora o número do telefone fixo da casa onde você morou quando tinha 10 anos… agora…”

Slogans como “Tudo a um clique na palma de sua mão” perderiam todo o sentido…

Mas esta é uma boa discussão, eu sei.

E quanto aos bancos que permitiram a abertura de contas falsas?

Ótima pergunta. Mas a abertura de contas falsas ou o uso de laranjas não é uma novidade: há décadas que essas modalidades estão na praça. Por isso, não seria correto culpar os bancos por isso. E, se você não é do mercado de prevenção à fraude, pode acreditar: essas instituições financeiras contam com as melhores soluções do mercado para impedir a criação de contas falsas. Inclusive o AllowMe…

Nosso papel é de orientação

Vulnerabilidades existem. Existem no ambiente online, existem no offline. Não existe app 100% seguro, assim como sempre estamos suscetíveis a intempéries da vida. Faz parte, infelizmente.

Minha intenção com este artigo é orientar. E, por isso, reservei algumas dicas importantes para as partes envolvidas neste golpe:

Dicas para bancos e apps:

• Ter uma plataforma de prevenção à fraude como o AllowMe, com capacidade de realizar uma análise de dispositivos completa e que identifique atividades suspeitas.
• Orientar os clientes para que tenham boas práticas de uso do aplicativo, como ter senhas fortes.

Dicas para usuários de telefones celulares

• Não deixar as senhas registradas no aparelho, seja em chats, e-mails ou bloco de notas
• Não reutilizar ou compartilhar senhas
• Utilizar uma senha forte, de preferência com caracteres alfanuméricos e que não seja baseada em informações públicas
• Colocar uma senha no chip para inviabilizar que seja utilizado pelo fraudador em outro dispositivo

Texto escrito por Gustavo Monteiro, Managing Director do AllowMe.