Celulares roubados e quadrilhas “limpa-contas”

Mão segurando um iPhone com a tela pedindo o código de desbloqueio. Ao fundo, folhas de uma palmeira.

Até duas semanas atrás, minha única preocupação com um possível roubo ou furto do meu celular era o prejuízo material. (Ainda mais agora, com tudo encarecendo.) Ele está bem configurado e criptografado, ou seja, é pouco provável que alguém consiga acessar os dados que estão ali dentro. Ou assim pensava. Uma série de reportagens da Folha de S.Paulo fez surgir outro receio: o de ter a minha conta bancária varrida por assaltantes.

Ao longo dos anos, Apple e Google, empresas que desenvolvem os dois únicos sistemas operacionais para celulares usáveis hoje, investiram muito em blindá-los contra acessos não autorizados. Bancões e fintechs, por lidarem com algo muito sensível, que demanda uma confiança tremenda dos clientes, acompanharam a evolução e, se de um lado tornaram fácil gerenciar dinheiro pelo celular, por outro trataram de garantir que essas operações fossem seguras.

As histórias relatadas pelos personagens das matérias da Folha, que tiveram seus celulares levados e as contas bancárias devassadas pelas chamadas quadrilhas “limpa-contas”, causou um abalo sísmico nessa confiança construída a duras penas durante mais de uma década. Afinal, todo esse aparato não vale de nada?

A situação ainda é nebulosa. Na maioria dos casos, os celulares estavam desbloqueados no momento em que foram levados dos seus — enquanto usavam o Waze dentro do carro ou andavam na rua e mexendo no aparelho distraidamente.

Nesses cenários, é xeque-mate. Como o celular guarda nossas vidas, ao levá-lo desbloqueado, não é muito difícil às quadrilhas trocar senhas e ganhar acesso a aplicativos, contas e espaços que, de outra forma, estariam bem protegidos. Há margem para que as fabricantes e os bancos/fintechs aperfeiçoem a segurança em situações do tipo, mas desde já a “lição” é direta e compreensível: cuidado ao desbloquear o celular em lugares públicos.

A parte intrigante, que desafia a lógica, é a dos relatos de celulares protegidos por senha e/ou biometria, que são levados bloqueados e, mesmo assim, são acessados em tempo recorde, antes mesmo da vítima conseguir bloquear cartões, chips e o próprio celular. “Geralmente são os Android, ou celulares abertos, quando a pessoa está no Waze”, explicou à Folha o delegado Roberto Monteiro, responsável pelos distritos da Polícia Civil na região central de São Paulo. “A quebra do iOS é muito mais difícil, mas eles também conseguem.” Seriam os nossos ladrões sofisticados a esse ponto? E se sim, como eles conseguem burlar camadas de proteção que, com frequência, dão trabalho até ao FBI?

Existem sistemas capazes de quebrar a criptografia do Android e até do iPhone. Um dos mais famosos, o GrayKey, da fabricante norte-americana Grayshift, é usado por autoridades policiais em várias partes do mundo e usa um método de força bruta, ou seja, testa senhas à exaustão até encontrar a correta. É possível, ainda, que outras ferramentas explorem falhas nos sistemas (Android e iOS) corrigidas nas versões mais recentes, o que só reforça a importância de mantê-los atualizados.

Em nota à imprensa, a Federação Brasileira de Bancos (Febraban) informou que “os aplicativos dos bancos contam com o máximo de segurança em todas as suas etapas, desde o seu desenvolvimento até a sua utilização”, que por isso “não existe qualquer registro de violação da segurança desses aplicativos” e que os casos relatados acontecem quando o celular é roubado desbloqueado, ou seja, questionando a palavra das vítimas. As fabricantes de celulares, questionadas pela imprensa, deram respostas evasivas ou não quiseram comentar o assunto.

Dada a repercussão pública, o Procon-SP intimou fabricantes de celulares, operadoras, bancos e fintechs a explicarem o que está acontecendo. Em uma reunião nesta quarta (23), os bancos prometeram uma central de atendimento para bloquear com mais agilidade as contas de pessoas que tiveram o celular levado e Apple e Google, a facilitar o bloqueio e exclusão remota dos seus sistemas (veja como fazer no Android e no iOS).

Em um post no Manual do Usuário, tentamos (nos comentários) imaginar cenários em que seria possível acessar um aparelho bloqueado. Surgiram algumas ideias engenhosas, como transferir o chip (SIM card) do aparelho para outro, o que daria acesso a ligações e mensagens SMS, mas nada conclusivo. Nada conclusivo, porém.

Enquanto aguardamos por mais esclarecimentos, é uma boa revisar as barreiras de segurança do seu celular. Nem sempre os bancos estornam o dinheiro perdido nesses casos, então é melhor prevenir do que remediar. Segue abaixo uma lista não exaustiva de orientações básicas de segurança para o celular:

  • Ative o bloqueio por senha e biometria do aparelho. De preferência, adote uma senha alfanumérica (com números e letras).
  • Ative a senha (“PIN”) do seu chip de celular (SIM card). Esse procedimento pode ser feito junto ao atendimento da sua operadora.
  • Desabilite o máximo de recursos possíveis com o celular bloqueado. No iOS, por exemplo, é possível desativar a leitura de notificações e o acesso à Central de Controle quando o celular estiver bloqueado.
  • Reduza o tempo do bloqueio automático da tela. Quanto menos tempo, melhor.
  • No iOS, existe uma opção que apaga os dados do celular após dez tentativas erradas de desbloqueio. Ative-a.
  • Não guarde informações que ajudariam os ladrões em uma situação de furto/roubo, como fotos de cartões de crédito/débito ou senhas em texto puro nos apps de anotações.
  • Ative camadas extras de segurança nos aplicativos, como autenticação em dois fatores, chave de segurança e bloqueio por biometria.
  • Não reutilize senhas nem use senhas simples, como 123456. Se possível, use um gerenciador de senhas, como o Bitwarden ou o 1Password.

Este post saiu primeiro na newsletter do site. Cadastre-se gratuitamente para receber os próximos direto no seu e-mail.

Foto do topo: Rodrigo Ghedin/Manual do Usuário.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

10 comentários

  1. Rodrigo,
    Esta sua postagem me deixou bastante perturbada e rendeu muitas conversas aqui em casa. Para além das especulações sobre como os roubos se efetivam (sou uma pessoa de humanas, não consigo acompanhar as explicações), ficamos aqui pensando sobre o uso que estamos fazendo do smartphone, e como isso aumentou de maneira até acrítica – ao menos aqui em casa – durante a quarentena.
    Quando eu era estudante de graduação, há pouco mais de 20 anos, tive minha bolsa e carteira furtadas pela primeira vez em uma festa, na véspera de um feriado prolongado. A dor de cabeça para me lembrar de tudo o que estava lá dentro para registrar o b.o. e a epopeia para emitir os documentos de novo (e eu só tinha uma conta bancária!) me ensinaram a sempre rever o que é realmente necessário carregar para lá e para cá no dia-a-dia – e me poupou dores de cabeça nos anos seguintes, quando a situação se repetiu.
    Fui muito resistente a instalar os apps de bancos no smartphone durante muito tempo, e me lembro que só o fiz para uma viagem internacional, desabilitando tudo qdo retornei. Instalava qdo era necessário, usava e retirava – sempre pensando no celular como na minha carteira. Mas, é claro, depois dos bancos e corretoras digitais, a vida foi ficando mais fácil e perdi o pudor de andar com todos os acessos no bolso.
    A conversa aqui em casa, entre familiares, navegou neste sentido: o que é realmente imprescindível acessar do celular, a qualquer momento, e o que pode ser acessado em casa, do computador? Claro que podemos problematizar a segurança do computador, mas não é esse o foco. Confesso que removi vários apps que considerei sensíveis e desnecessários sobre este ponto de vista, além de rever a segurança do aparelho em si a partir das sugestões do seu texto, e estou repensando esta necessidade artificial de ter tudo ao alcance das digitais o tempo todo. As redes sociais já foram excluídas há algum tempo, daqui a pouco só restarão os joguinhos ;)
    Um abraço.

  2. Parabéns pelo post. Gostaria de sua opinião sobre um aplicativo de rastreamento para Android, chamado cerberus. Ja uso faz um bom tempo, mesmo o Google tendo retirado ele da playstore. Ja tive um celular furtado e com o aplicativo acionei a polícia para rastrear o ladrão, mas infelizmente fugiram mas consegui apagar todo o celular.

  3. E possível também que os celulares roubados estejam sendo desbloqueados com as senhas e informções vazadas recentemente, por isso é bom usarem senhas alfanumericas individuais e diferentes para cada conta.
    Também não sei se a facilidade dos gerenciadores de senha ajudam ou atrapalham nessas horas, são seguros o suficiente?.

  4. Eu acho que está relacionado a forma que é utilizado a biometria.

    Em muitos apps, a biometria é a chave de acesso a um repositório de usuario/senha/certificado do cliente que fica armazenado no proprio aparelho. Por isso que alguns apps ainda informam que QUALQUER DIGITAL CADASTRADA dará acesso a esse repositório.

    Uma falha no registro de biometria, por exemplo, permitiria que o bandido cadastrasse a própria digital para as operações.

  5. Eu tenho notado no Facebook Marketplace um aumento de anúncio de “serviços de tirar conta do Google / Apple”.

    Tenho a sensação que isso é correlacionado.

    1. Pode ser, mas tenho uma dose de ceticismo quanto a ser relacionado. Geralmente esses apps bancários não são conectados a nenhuma conta, pelo menos pra fazer login (por motivos óbvios), e mesmo considerando o backup que é feito deles na conta da Apple/Google, ainda há a barreira de conseguir autenticar no app do banco e aprovar as transações. Mas como estamos em um campo especulativo, posso estar completamente errado também.

      Algumas outras especulações da minha parte:
      – Muitos bancos permitem entrar no app apenas com a digital, podendo ver extrato e outras informações. Mas para fazer transações, ainda é necessário o uso da senha. Se houver alguma falha que eles estão explorando para conseguir entrar sem a digital e lá de dentro estão pegando essas informações para conseguir redefinir a senha entrando em contato com o banco?
      – Será que não poderia ser alguma falha relacionada com o Pix ou até mesmo com NFC que permita pagar/transferir valores sem colocar a senha?

      1. Muitos bancos permitem entrar no app apenas com a digital, podendo ver extrato e outras informações. Mas para fazer transações, ainda é necessário o uso da senha. Se houver alguma falha que eles estão explorando para conseguir entrar sem a digital e lá de dentro estão pegando essas informações para conseguir redefinir a senha entrando em contato com o banco?

        Prestei atenção aqui e, no bancão onde tenho conta, dá para fazer tudo só com biometria — inclusive confirmar pagamentos e transferências. No site é pedida a senha numérica e a temporária (gerada pelo aplicativo), mas no aplicativo, só a biometria resolve.

        1. Então é mais grave ainda. Dos apps aqui que eu tenho, acho que só o PicPay permite fazer uma transação com digital, sem usar uma senha. E parando pra pensar, não precisa nem ser uma falha de software: e se os bandidos estiverem conseguindo coletar alguma marca de digital no próprio aparelho? Isso pode parecer um pouco sofisticado, mas comparando com outros métodos como conseguir descobrir a senha na força bruta, ou explorar alguma falha de software, convenhamos que coletar e reproduzir as digitais até que está no mesmo nível.

  6. Eu tenho um aparelho da Xaiomi, quando reinicia o aparelho ele pede a senha do chip só tem 3 tentativas antes de bloquear o chip (no Android eu sei que a pessoa mesmo consegue alterar a senha Sim do chip não precisa entrar em contato com a operadora), depois ele pede a senha da conta Mi, outra opção que tem que eu uso é para entrar em aplicativos que eu escolho ou nas configurações uma senha de quatro dígitos extra para poder abrir o aplicativo. No meu caso eles vão ter que descobrir 3 senhas diferentes para poder abrir as configurações ou os aplicativos fora a senha do próprio app do banco mesmo assim se roubarem da medo. No mais não saberia o que fazer para dificultar.

  7. Minha desconfiança é que seja o mais eficaz e popular método: engenharia social. No caso, acho que descobrem as senhas vasculhando o Whatsapp e email das pessoas – muita gente usa a mesma senha para tudo.

    Ainda mais as fracas senhas númericas que os bancos pedem justamente para as transações mais sensíveis – frequentemente de 4 a 8 dígitos, e com várias restrições bem intencionadas mas que reduzem ainda mais o universo que o usuário pode escolhar. Como os bancos bloqueiam erros repetidos, eu também não acho que estejam tentando força bruta com datas de nascimento ou coisas assim – muito mais fácil cavar uma senha enviada num chat e testar nas contas. E como o usuário vai usar a senha em tudo.

    Para piorar, um monte de sites e aplicativos de banco dos bancos impedem que o usuário use gerenciadores de senha ou outras estratégias mitigadoras, e aumentam o risco. Autenticação por SMS, por exemplo, está no papo assim que o cara pega o SIM – não precisa nem desbloquear o celular. Não só o campo de senha costuma estar bloqueado para auto-completar dos autenticadores, vários aplicativos de banco deslogam o usuário quando ele sai do aplicativo, o que o impede de olhar a senha em um gerenciador.

O site recebe uma comissão quando você clica nos links abaixo antes de fazer suas compras. Você não paga nada a mais por isso.

Nossas indicações literárias »

Manual do Usuário