Celular roubado com tela desbloqueada gera prejuízo de R$ 22,5 milénio a vítima – 24/09/2020

wrsi
>Categories: Blog
Tags: 225, 24092020, celular, de, desbloqueada, gera, mil, prejuízo, roubado, tela, Vítima
24 de setembro de 2020

O jornalista Sandro Leal (nome hipotético para proteger a identidade) nunca imaginou que uma relação a um quarteirão de lar, no bairro de Santa Cecília, em São Paulo, trouxesse tanta dor de cabeça. Um rapaz passou de bicicleta e tomou o aparelho de suas mãos. Perdeu não só seu novo iPhone 11 porquê percebeu um pouco pior: o celular foi roubado com a tela desbloqueada, o que causou prejuízos financeiros muito maiores —mais de R$ 22,5 milénio, no caso dele.

Assim porquê Leal, muitos de nós não estamos preparados para fechar as brechas sensíveis do celular se ele for roubado com a tela desbloqueada. Leal lamentou sobretudo o que rolou com o banco, já que ele usava a instrumento de reconhecimento facial do app para entrar na conta e julgava ser um pouco seguro.

Os R$ 22,5 milénio perdidos foram via empréstimos e transferências realizadas pelo criminoso a partir da conta da vítima em um aplicativo bancário. Outro dano foi uma compra de R$ 300 no Uber Eats, com R$ 40 de gorjeta ao entregador. “A primeira sensação que tive é que a segurança de app é muito ruim, nunca mais vou ter um app de banco no meu celular. É a mesma coisa que eu estar saindo por aí com quantia na mão”, reclama.

O jornalista até fez um boletim de ocorrência virtual e entrou em contato com a operadora para bloquear o número. Já sobre o iPhone, ele havia feito um seguro, portanto recuperaria rapidamente o numerário. O problema seria a odisseia para provar que não foi ele quem puxou aquela grana do banco.

Problemas com a operadora

Porquê sabemos, uma das primeiras coisas a se fazer em seguida roubo de celular é informar a operadora para que o número seja bloqueado. De tratado com o jornalista, foi o que ele fez. Leal informou o roubo para a namorada, que imediatamente entrou em contato com a operadora.

Mas, ele conta que a Vivo não cancelou seu número de repentino. Isso manteve o WhatsApp ativo, fazendo com que muitos contatos recebessem mensagens indevidas.

Leal afirma que contatou de novo a operadora logo que chegou em morada para cancelar o IMEI (sigla em inglês para identificação internacional de equipamento traste), o que bloquearia totalmente o aparelho. Precisou de mais uma tentativa até que conseguisse ser atendido.

Em contato com Tilt, a Vivo reforçou seu protocolo em caso de pilhagem do celular: o cliente deve solicitar à operadora o bloqueio da risco e do aparelho. Caso não tenha o número do IMEI, o cliente “poderá efetuar o bloqueio informando o número da risca telefônica”.

Questionada sobre o veste de o jornalista ter feito mais de uma tentativa antes de conseguir o bloqueio, a operadora disse que “a Anatel [Agência Nacional de Telecomunicações] regulamenta que o bloqueio do IMEI deve ocorrer em até 24 horas”.

Uber Eats

Poucas horas depois ter o aparelho roubado, o jornalista recebeu um email confirmando uma compra realizada por meio do Uber Eats no valor de R$ 300, entregue em uma rua na região da Santa Efigênia.

Na descrição do pedido estavam duas caixas com dez unidades de brigadeiro, dois brigadeiros de morango, dois brigadeiros de Oreo, duas paçocas, uma Coca-Cola e quatro pães de mel. Em seguida a entrega, o faminto criminoso ainda deu R$ 40 de gorjeta ao entregador.

“Porquê era um iPhone 11, meu cartão estava registrado na Apple Pay [plataforma de compras por celular da Apple]. Logo que recebi a notificação, cancelei meu cartão. Pensei: se pediram R$ 300 em brigadeiro, estou ferrado”, conta o jornalista.

O site do Uber Eats dizia que eu tinha que entrar no aplicativo do celular para que eu não reconhecesse a compra, mas eu estava sem celular, logo não consegui reclamar por alguma coisa que não fiz. Tanto que tive de remunerar os R$ 300

Procurado, o Uber Eats disse que já resolveu a situação junto ao jornalista. Mas Leal disse que teve de remunerar os R$ 300 e ainda recebeu uma novidade cobrança com relação à gorjeta de R$ 40 no mês de setembro.

Já a Apple não respondeu às perguntas da reportagem e limitou-se a enviar um site com as políticas de privacidade dos seus produtos. O teor diz que a operário “recebe dados criptografados sobre a transação [de compras na plataforma] e, antes de enviar para o desenvolvedor, codifica tudo novamente usando uma chave específica que só o desenvolvedor conhece”.

O mesmo site defende a segurança da empresa, dizendo que os números dos cartões de crédito “nunca são armazenados no aparelho nem nos servidores da Apple. Em vez disso, um Número de Conta de Aparelho é criado”. Aliás, diz que nem a Apple nem o iPhone compartilham o número do cartão de crédito ou de débito com os estabelecimentos.

Problemas com banco

Porquê muitos usuários, Leal tinha apps bancários instalados em seu smartphone, e foi um deles que gerou a maior dor de cabeça. Primeiro, o ladrão fez muitas tentativas para acessar o app do Itaú, o mais usado pela vítima, o que acabou bloqueando o entrada.

Uma semana em seguida o roubo, o jornalista recebeu uma cobrança por SMS de uma fatura que não havia sido paga. O problema é que o pagamento estava agendado para débito automático no Bradesco, outro aplicativo que ele tinha no celular.

“Não mexo na conta e tenho um limite de cheque privativo cume, não era para ter voltado. Pensei: ‘será que conseguiram entrar na minha conta e sacaram?’ Consegui vincular para o banco e descobri valores absurdos”, diz.

Para espanto de Leal, ao entrar em contato com o banco, valores muito altos foram retirados de sua conta.

Fizeram três empréstimos. Um de RS 15.528, um de R$ 988 e um R$ 3.120. Na sequência realizaram quatro transferências bancárias, uma de R$ 4.177,20, outra de R$ 10.400, a terceira de R$ 4.999,99. E, por término, uma de R$ 3.003 para quatro pessoas diferentes, as quatro correntistas do Bradesco. Limparam meu limite peculiar, mais o valor dos empréstimos

De pacto com Leal, o aplicativo do Bradesco permitia que ele entrasse usando exclusivamente o reconhecimento facial, sem solicitação de senha com dígitos.

“Eu não iria imaginar que em um aplicativo do banco, uma coisa que é para ser a mais segura do mundo, um bandido conseguiria fazer três empréstimos, depois quatro transferências. Já teve vezes que eu fiz uma compra à vista e o gerente me ligou perguntando se eu tinha feito mesmo a compra, por conta do valor. Agora, numa situação de um terceiro fazendo isso, não tem zero disso? Eu estou chocado mesmo”, reclamou.

Ele procurou o banco para saber o que pode fazer para reaver o moeda e não ter de remunerar os empréstimos. Segundo ele, inicialmente, o Bradesco deu prazo de 15 dias úteis para resolver a situação, mas, vencido o prazo, pediu mais 15 dias para examinar o ocorrido. A resposta deve ser dada até 1º de outubro.

Em contato com Tilt, o Bradesco afirmou que “o uso do reconhecimento facial é de escolha do cliente e não substitui o uso da senha de aproximação e do Dispositivo de Segurança [recurso que fica no aplicativo do banco e gera um código para transações], que ficam armazenados no aparelho, em cofre de senha, que é acessado exclusivamente com a biometria cadastrada no aparelho”.

Ou por outra, o banco informou que se houver modificação da biometria facial ou de sensação do dedo, a senha e dispositivo de segurança “são involuntariamente apagados/desvinculados do aparelho”. Caso o cliente opte por vinculá-los novamente, será feito “de forma segura, com uso de senhas”.

A Apple afirma em seu site que o reconhecimento facial é “totalmente processado no seu aparelho, e não na nuvem. A Apple não sabe o teor das suas fotos, e os apps só podem ter entrada a elas com sua permissão”.

Porquê tudo isso aconteceu?

Porquê o jornalista tinha o cartão de crédito cadastrado no Apple Pay, ele acredita que essa foi a forma usada para a compra dos brigadeiros.

Mas e os empréstimos e transferências bancárias? Segundo Leal, o mandatário de polícia que o atendeu disse que uma das possibilidades é que o ladrão tenha entrado no aplicativo por meio do reconhecimento facial. “Eles teriam usado uma das fotos minha que estavam no celular e, com essa foto, acessar”, disse.

O Bradesco informou que o reconhecimento facial é uma “funcionalidade do operário de cada aparelho celular e não do Aplicativo do Banco. Porquê regra, têm funcionalidades que impedem a utilização de fotos no reconhecimento”.

Tilt pediu para duas empresas de segurança do dedo —a Kryptus e uma outra que não quis se identificar— simularem uma invasão ao app por reconhecimento facial. Os especialistas afirmaram não ser provável enganar o reconhecimento facial usando fotos que já estão nos celulares.

A Secretaria de Segurança Pública do Estado de São Paulo disse que “diligências estão em curso em procura de elementos que auxiliem na identificação da autoria. Somente no mês de agosto, dez pessoas foram presas em flagrante por receptação, rapina e roubo de celulares na mesma região apontada [Santa Cecília]”.

Questionado porquê seria provável realizar empréstimos e transferências bancárias no aplicativo sem que o usuário deixe a senha no aparelho, o órgão não respondeu. Foi pedida uma entrevista com um representante profissional no caso, mas a solicitação não foi atendida.

O que dizem os especialistas

Profissionais de cibersegurança acham difícil os criminosos terem modificado o reconhecimento facial ou usado fotos para acessar a conta. “Aplicativos de banco costumam ser muito seguros”, diz Daniel Cunha Barbosa, perito em segurança da informação da Eset Brasil.

De contrato com Barbosa, uma das hipóteses é entrar em contato com o banco, se passando pela vítima remotamente. “O criminoso fala, ‘olha, sou fulano, quero fazer uma solicitação de empréstimo’. Às vezes pelo próprio chat do banco conseguem fazer isso”, disse.

Já André Osti, profissional em cibersegurança da Kryptus, afirmou que, sem explorar o ataque detalhadamente, é difícil expressar porquê foi feito. “Mas as tentativas de fraudes no setor bancário e financeiro evoluem muito rapidamente. É importante que os bancos e instituições financeiras estejam um passo adiante em cibersegurança”.

De negócio com ele, porém, o banco deveria identificar, por meio de sistema antifraude, que uma determinada transação saiu fora do padrão do perfil do usuário. É alguma coisa espargido no meio porquê biometria comportamental, que analisa diversas informações do momento da transação, porquê geolocalização, horário da transação e valores fora do generalidade. “Nesses casos, a operação poderia ser negada ou necessitar de autenticação suplementar por secção do usuário para ser concretizada”, disse.

Sobre a compra de brigadeiros no Uber Eats, Daniel Cunha Barbosa acha que se trata de um golpe orquestrado com outras pessoas. Por exemplo, uma loja que venda qualquer coisa pelo aplicativo. O criminoso a procura e acerta dividir metade do valor da compra com ela. “Simulou-se uma entrega em um lugar eventual e normalmente ninguém vai procurar”, afirmou.

Porquê se proteger?

Roubos porquê o que ocorreu com Leal são muito comuns em festas com aglomerações, porquê o Carnaval ou em festivais de rua. De convenção com o perito da Eset Brasil, uma das principais ações é ter um software com recurso antifurto.

“O próprio iPhone tem configurações para o bloqueio do telefone. Para Android há softwares que fazem tanto o bloqueio quanto apagam o celular remotamente para não permanecer à mercê dos criminosos”, sugere Barbosa.

Outra recomendação é lembrar quais aplicativos de banco estavam instalados no celular, cancelar os cartões de débito e crédito que estavam cadastrados e ainda fazer o bloqueio de aplicativos porquê iFood, Uber Eats e Uber. “Se provável, configure senha em aplicativos importantes, mas caso não tenha, procure esses apps para fazer a exclusão da conta e o bloqueio. Porque quando alguém tentar usar, será bloqueado”, diz.

Fonte