Como criminosos conseguem invadir celulares bloqueados?

“Criminosos de SP agora roubam celulares para limpar contas bancárias das vítimas”, diz o título desta notícia na Folha de S.Paulo. O primeiro personagem é alguém que tinha um iPhone 11 protegido pelo Face ID. Mesmo assim, logo após o furto sua conta bancária já tinha um rombo de R$ 5 mil.

A própria reportagem aponta as possíveis brechas que os criminosos exploram para invadir sistemas que, a princípio, são seguros contra esse tipo de ataque. Segundo um especialista consultado, os casos mais comuns de fraudes são realizados por meio de aparelhos celulares com sistemas operacionais desatualizados ou levados ainda abertos, ou seja, desbloqueados, com o Waze aberto, por exemplo.

No nosso grupo do Telegram (participe!), outra hipótese foi aventada: a recuperação de senhas a partir de códigos enviados por SMS. Nesse caso, bastaria colocar o chip em outro celular para escapar das travas do aparelho roubado/furtado.

Alguma outra ideia de como seria possível invadir esses celulares e contas bancárias?

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

34 comentários

  1. Boa noite!
    Eu fui roubada, levaram mais $ 52.000,00 em menos de ,1 hora.
    Conseguiram fraudar iCloud, bancos e e-mails. Não tinha nada aberto , tudo era por desbloqueio de face. E mesmo assim fizeram, o que e pior no sábado. O que mais me surpreende e que se tentamos sacar $ 2.000,00 de final de semana e impossível , mas fazer empréstimo, transferir essa quantia liberaram .
    Existe falhas de todos os lados. Minha pergunta é o que fazem com esses aparelhos. Pq até meu icloud desativaram para rastrear e criaram um novo . E desativaram o meu. Era tantas senhas para todos aplicativos e invadiram .
    Falta de suporte nós bancos na Apple . E algo extremante assustador .

  2. Uma coisa que eu fiz pensando na situação de ter o meu iPhone roubado foi migrar o meu chip físico para o eSIM. Primeiro que quando o assaltante abrir a gaveta do chip, não haverá nada para ser retirado, mesmo colocando o iPhone no modo DFU e restaurando o iOS, o eSIM permanece cadastrado, segundo que eu sempre poderei rastrear o iPhone pelo Find My – pelo menos enquanto ele estiver ligado.

  3. Acho que esse tipo de matéria publicada em jornais como Folha de SP só serve pra causar pânico, afastando as pessoas ainda mais dos meios digitais de pagamento.
    São textos mal redigidos e incoerentes, pois vamos pensar: o aparelho estava aberto com o Waze(ou seja lá qual for o aplicativo). Então foi furtado ou roubado. O ladrão teve acesso a todas as contas bancárias de que maneira?
    Na conta da Caixa Econômica e do Inter, por exemplo, é preciso digitar a senha no aplicativo todas as vezes que for usá-lo. Como foi descoberta?
    Colocar o chip em outro aparelho é uma possibilidade, mas não é mencionada nos jornais.
    Pra finalizar uma transação bancária é exigida outra senha. Como foi também descoberta?
    Muitos bancos limitam transferências online a mil reais, então como dizer que alguém teve 60 mil desviados?
    E ainda que consigam transferir tanto dinheiro, qual é o motivo do banco se recusar a ressarcir o cliente, levando em conta que há provas do crime?
    As informações precisam de detalhes importantes.

    É como a tal “clonagem do Whatsapp”. Não há clonagem, é a pessoa que diz o código pro golpista.

    1. Os efeitos que uma reportagem causa são discutíveis, mas é inegável que algo está acontecendo. Não fosse pelos jornais, como saberíamos desse problema?

      A grande questão, e que estamos tentando entender, é como os criminosos estão burlando essas camadas de proteção. Porque não foi uma ou duas pessoas, mas várias que tiveram dinheiro subtraído de suas contas após terem seus celulares roubados. Há uma linha tênue que separa o sensacionalismo da conscientização, e acho que ainda estamos do lado da conscientização, ou seja, tentando entender um problema potencialmente grave a fim de preveni-lo.

      A “clonagem” de WhatsApp tem vários vetores. Também pode ser desempenhada por funcionários de operadoras envolvidos em esquemas ilícitos, por exemplo. De qualquer forma, o fato de serem as vítimas que entregam o código de verificação faz o problema deixar de sê-lo? Não deveríamos cobrir esse assunto por isso? Não entendi a comparação.

  4. “nas últimas semanas”, “novo golpe”, “fulano de tal”, “levaram tudo”, “falta de segurança”

    só eu q não tô acreditando nesse boato?
    quem são essas pessoas envolvidas?

    é legal q esse boato tá em um monte de site com pessoas diferentes e desfexo igual

    procurem por “criminosos celulares contas bancárias” e acharão um monte e a mais antiga q eu vi foi d 25/08/2017, ou seja, não pode ter sido “nas últimas semanas”

    tá bom, vou fingir q acredito

  5. Acho que uma parada super válida que muitas vezes passa despercebida nos cuidados com segurança é colocar senha no chip da operadora e esconder notificação com o telefone bloqueado (para eles não tentarem resetar suas senhas usando o número de telefone).

    Após ler a notícia, ativei aquele troço que pede a digital para entrar no nubank e no e-mail mesmo com o telefone desbloqueado.

    1. Sim, isso é bem importante. Para quem usa iPhone, outra medida muito boa é desativar o acesso à Central de Controle sem autenticação. Dessa forma, o ladrão não consegue colocar o celular em modo avião — ele pode desligar o aparelho, mas aí não tem acesso ao sistema.

      1. Eu fiquei na dúvida sobre ativar essa opção no meu iPhone. Se o aparelho é resetado, não fica MAIS fácil pro ladrão simplesmente roubar e começar a utilizar o aparelho roubado? Não seria como se ele acabasse de comprar um aparelho novo? Claro que, do ponto de vista do dono do iPhone, é uma coisa boa que seus dados sejam apagados do aparelho roubado. Mas, do ponto de vista do ladrão que quer o aparelho (e não os dados do antigo usuário), é muito bom que o aparelho seja resetado e funcione como novo. Ou não?

        1. Sim, você tem razão. É uma escolha que o usuário precisa fazer. Eu prefiro perder o iPhone e manter meus dados e aplicativos seguros.

          Ah, e você também tem a opção de solicitar o bloqueio do IMEI do aparelho (você comunica a sua, o “alerta” de IMEI inválido vale para todas). Não sei se é possível trocar o IMEI junto às operadoras, mas seria um empecilho extra ao assaltante para reutilizá-lo como se fosse novo.

        2. Não, ele apaga os dados do aparelho mas o telefone segue lindado com a Apple ID e pra começar a usar precisa logar com a mesma conta.

          Limpar o telefone é fácil mesmo sem esse recurso, dá pra simplesmente ligar o telefone no computador e restaurar o sistema do 0, mas com o Activation Lock precisa do login do iCloud para de fato usar o telefone

          1. Melhor ainda! Sabe dizer quando esse Activation Lock passou a existir? No vídeo que o andreyev linkou, acima, fiquei com a impressão de que esse recurso não existia.

          2. Ahhh, bem observado. Se duvidar, deve ser algo contemporâneo à criptografia do aparelho com a configuração de uma senha (iOS 8?).

  6. Sou muito da idéia de ataques man-in-the-middle: alguém ligado ao furtado é quem auxilia ou mesmo pratica o furto ou roubo. Ou de alguma forma a pessoa é monitorada e com isso identificam o alvo e praticam o crime.

    A gente se preocupa muito com a segurança em hardware e software, e esquece dos arredores.

    1. Me veio a mente agora um erro crasso que eu também cometo: digitar login e senha em espaço publico.

      Se a gente não pensar que podem usar até cameras de segurança para identificarem uma vítima, ignoramos que todos na rua podem ser suspeitos.

  7. Algumas coisas podemos fazer para mitigar: usar um telefone com SO e aplicativos atualizados, criptografia por padrão, andar na rua com o celular no bolso e bloqueado, senha de desbloqueio longa e de difícil dedução, ativar PIN no chip (ou até usar eSIM)…

    1. Complementando o que disse, há programas que permitem alterar o nome e o ícone de apps, se possível reforçar a exigência de senha/digital para desbloquear os apps de banco, uber, comida e até galeria de fotos pois podem usar foto do nosso rosto para alterar senhas bancárias.

    2. Discordando:
      – Telefone com atualizações: isso é bem difícil de ter ultimamente.
      – Criptografia por padrão: pelo que entendi, o problema é o “man-in-the-middle”, criptografia não ajuda muito.
      – Senha de desbloqueio longa e difícil dedução: até o cara desbloquear já apontaram a arma.

      O que concordo:
      – Andar com celular no bolso e bloqueado – isso é o famoso “a ocasião faz o ladrão”. Andar com celular na rua ainda tem seus perigos, seja da distração, seja do furto. Manter no bolso sempre é o melhor.

      – Ativar pin no chip ou usar eSim: nunca usei o esim, mas uso pin no chip.

      1. Toda ação de segurança isolada tem algo que a anule, no entanto, elas aplicadas em conjunto tornam mais difícil a vida dos criminosos… Lembrando que não existe nada 100% seguro, o que podemos fazer é ir incrementando os nossos dispositivos (e hábitos).

        Sobre criptografia, ela já atrapalha quem subtrai o aparelho para fins ilícitos, sem ela basta conectá-lo a um computador e extrair os dados. Sobre a senha de desbloqueio, claro que mediante roubo armado a gente vai desbloquear e entregar, no entanto, creio que isso seja uma minoria dos casos, visto que começa a chamar muita atenção para os criminosos…

        1. Sinceramente sou da filosofia de segurança “Mate quem comete crimes” – sim, sei que é estúpido.

          1. Eu sei, @Ghedin. Imaginei que faria tal comparação, e não o nego (em tempos: apesar do termo bolsonarista, aplicaria mais a radicais também, pois geralmente usam do discurso de ameaça ou prática de violência propriamente dito, mas divago.) Mas não é fácil vencer este preconceito interno – ou melhor, esta ideia de “mate o inimigo / adversário”.

            É uma reflexão por dia, enquanto que nas ruas a gente é ameaçado por motoristas e motoqueiros violentos, gente com cara de poucos amigos se aproximando, policial com cara de quem quer tirar a propina do dia, e colegas ou amigos que preferem mais o tal presidente estúpido e a lógica similar do que viver em paz sem brigas.)

          2. Concordo. Quem é do direito sabe: réu morto não tem reincidência.

  8. Posso dizer como pode ter ocorrido, assim como ocorreu comigo, para fazer a validação no Picpay, e no inter, precisei tirar fotos minhas com meu documento, o que não tinha me atentado é que, as fotos ficaram salvas no meu celular, e no Inter, eles conseguiram usar a mesma foto, para resetar minha senha , pulando totalmente minha senha de acesso, e usando a própria deles. Dali o estrago foi grande, os valores que lançaram no cartão de crédito, consegui estornar todos, mas os de transferência, sigo no imbróglio para reaver.

    1. O Banco Inter não é reconhecido pela segurança mesmo. Mesmo que você não tenha foto salva, qualquer ladrao que roube seu celular e sua carteira teoricamente teria a chance de fazer essa mesma validação com rg.

  9. Se utilizaram PIX, não deve ser muito difícil identificar o caminho do dinheiro: a quebra de senhas até pode ser sofisticada, mas o roubo propriamente dito parece grosseiro.

    1. Tendo sido vitima de um golpe parecido, a pouco tempo atrás, mesmo via PIX, a transferência tinha sido feita a uma conta de um laranja, e fora sacada, 10 minutos depois. Entre eu cair no golpe e começar a ligar para os bancos foram 20 minutos, mesmo assim, já tinham feito um belo estrago, minha sorte foi que bateram no limite de transferências da minha conta. Agora fica o prejuízo e a longa briga com o banco para tentar reaver meu dinheiro.

        1. Falando com o escrivão, ele me deu duas possibilidades de que poderia ter sido, uma pessoa com os dados roubados, teve uma conta aberta num aplicativo digital, ou alguém simples, empresta a conta para outras pessoas em troca de uma pequena remuneração, sem saber o que irá acontecer com a conta. Mesmo no segundo caso, normalmente, nada acontece, por ser pessoa de origem humilde, tentando apenas uma renda extra por algo que, ela não percebe que pode trazer graves consequências.

O site recebe uma comissão quando você clica nos links abaixo antes de fazer suas compras. Você não paga nada a mais por isso.

Nossas indicações literárias »

Manual do Usuário