[Falha de Segurança?] Vereador tem iPhone roubado e perde 67 mil

[Adriano Santana]

Vereador de SP tem celular furtado no trânsito, e bandidos limpam dinheiro de contas bancárias

Em menos de duas horas, criminosos desviaram R$ 67 mil das contas de Marlon Luz, por meio de aplicativos de bancos. Telefone estava desbloqueado; segundo especialista em segurança digital, isso facilita para os bandidos na hora de obter dados e mudar senhas.

 Tahiane Stochero, Luciana de Oliveira e Victor Hugo Silva, G1 SP

 

O celular do vereador Marlon Luz (Patriotas) foi furtado na noite desta quinta-feira (17) quando o parlamentar saía da Câmara de São Paulo, no Centro de São Paulo. Em menos de duas horas, os criminosos desviaram R$ 67 mil de duas contas bancárias, por meio de aplicativos de bancos instalados no telefone.

Ao G1, Luz relatou que o carro estava parado em um congestionamento na Avenida 23 de Maio, com o celular iPhone X com a tela desbloqueada e aberto no aplicativo Waze. Nesse momento, um homem estourou o vidro e pegou o aparelho, que estava no painel. Uma câmera de segurança de dentro do veículo registrou a ação.

Poucos minutos depois, os criminosos invadiram duas contas bancárias do vereador no aplicativo do Itaú: uma de pessoa física, do Personnalité; e outra jurídica. Eles, então, transferiram R$ 67 mil para uma terceira conta do próprio vereador, no banco Original, que também foi invadida. Em seguida, os bandidos criaram uma chave PIX no app dessa última instituição e repassaram o dinheiro para cinco contas bancárias.

O vereador fez dois boletins de ocorrência: um de furto qualificado e outro de estelionato, na delegacia especializada de crimes cibernéticos.

"O delegado me disse que se trata de uma quadrilha, com hackers, que rouba a senha pela forma como você digita os números no teclado. Os bancos me pediram cinco dias para darem uma análise da situação", disse o vereador.

O G1 pediu à Secretaria de Estado de Segurança Pública (SSP) uma entrevista com o delegado responsável pelo caso para que ele explique como seria possível que o acesso às senhas fosse feito pelos criminosos por meio da tela do celular. A pasta disse que iria se manifestar apenas por nota e afirmou que um inquérito policial para investigar o caso foi aberto pela Central Especializada de Repressão a Crimes e Ocorrências (Cerco) da 1ª Seccional.

"O policiamento ostensivo e preventivo na região será reforçado. Diligências são realizadas para identificar e responsabilizar o autor do crime", disse a SSP, em comunicado.

Segundo o vereador, os criminosos também tentaram invadir as suas contas bancárias do Banco do Brasil e do Santander, mas não conseguiram.

"Logo após o furto, eu pedi ajuda a uma viatura da Polícia Militar e tentei bloquear o celular (um Iphone X) pelo site da Apple. Mas o site não localizava o celular. Contudo, o celular continuava funcionando, eu tinha o WhatsApp aberto no computador e continuei recebendo as mensagens normalmente", disse o Luz.

"Eu nunca mais terei aplicativo de banco no celular. Não é seguro. É difícil, mas é a única coisa, não conseguem nos garantir segurança."

Procurado pelo G1, o Itaú afirmou que seu aplicativo “é seguro e toda transação, para ser aprovada, necessita obrigatoriamente de senha da conta corrente” (leia mais ao final deste texto). O Banco Original não retornou o contato até a última atualização desta reportagem.

Já a Federação Brasileira de Bancos (Febraban) afirmou que os aplicativos de bancos têm "elevado grau de segurança desde o seu desenvolvimento até a sua utilização, não existindo qualquer registro de violação dessa segurança".

Somente uma investigação poderá esclarecer o caso do vereador. O jornalista Altieres Rohr, que tem um blog sobre segurança digital no G1, explica que, quando um aparelho é pego desbloqueado, é mais fácil para os bandidos obterem dados e mudarem senhas que permitirão acesso a aplicativos como os de bancos. “Mesmo não tendo a senha, você tem tudo na mão pra redefinir a maioria delas”, afirma.

 

Isso porque o aparelho guarda muitas informações que podem facilitar, por exemplo, que uma instituição reenvie uma senha ou redefina esse código por meio de confirmação usando dados como CPF, data de nascimento, nome dos pais etc., que são encontráveis em e-mails e redes sociais, entre outras ferramentas disponíveis no celular.

Em seu site, o Itaú informa, por exemplo, que o processo de recuperação da senha eletrônica, usada para acessar seu aplicativo, exige a senha do cartão de débito, além dos números de agência e conta corrente. Em seguida, o banco oferece a validação por SMS ou caixa eletrônico para concluir a mudança da senha do app.

O processo de recuperação de senha de acesso à conta do Banco Original consiste em enviar um e-mail para o cliente com um anexo que precisa ser desbloqueado por meio de um código enviado também por SMS. Este arquivo contém uma senha provisória que é usada para acessar a conta e redefinir a senha de acesso.

O risco de acesso indevido é ainda maior para quem mantém uma lista de senhas anotadas no próprio aparelho (num e-mail ou bloco de notas etc.).

“As pessoas se esquecem que todos os aplicativos de banco, além da autenticação biométrica, sempre vão dar uma forma de autenticação usando a senha numérica. Muitas vezes essa senha numérica está anotada no celular”, afirmou Fabio Assolini, analista sênior de segurança da Kaspersky.

Mas Marlon Luz afirmou ao G1 que esse não foi o seu caso.

"Eu não tenho a senha anotada em nenhum lugar, eu sou da área de tecnologia, tomo todo cuidado, não deixo senha guardada na nuvem, ou em lugar algum. Até vivo trocando a senha, porque sempre esqueço, e minhas senhas são difíceis, nada usual. Não anoto nada no celular", disse.

Celulares desbloqueados permitem explorar falhas que podem dar acesso a praticamente tudo no telefone, violando certas medidas de segurança adotadas pelos apps, lembra Altieres Rohr.

Ele cita o caso do "checkm8", que explora uma vulnerabilidade no código de inicialização do chip, que não pode ser modificado após a fabricação. Por essa razão, a falha é considerada incorrigível e pode afetar todos os modelos de iPhone desde o 4S até o X (excluindo, portanto, XR, XS e a linha 11 e 12), além de diversos modelos de iPad e Apple TV.

Rohr explica que é mais difícil usar o "checkm8" no iOS 14, a versão mais nova do sistema da Apple, o que também mostra a importância de manter o iOS atualizado, mesmo em modelos antigos. Porém, segundo ele, não é impossível que essas dificuldades sejam superadas.

A primeira providência a ser tomada no caso de roubo ou perda, estando o aparelho desbloqueado ou não, é apagar os dados remotamente. Isso pode ser feito acessando as páginas que a Apple (no caso do iPhone) e o Google (para celulares com o sistema Android) criaram para localizar dispositivos perdidos.

 

Só depois de ter os dados apagados, comunique a operadora de que o aparelho foi roubado, para que sua linha seja bloqueada. Se você fizer isso antes de deletar os dados e a linha for cancelada e seu smartphone ficar sem internet, o comando para limpar o dispositivo não vai chegar.

O comando também não vai funcionar se o aparelho tiver sido colocado em modo avião após o roubo, o que pode ter sido o caso do vereador. No site, a Apple informa que "se o aparelho estiver off-line , ele será apagado remotamente na próxima vez que estiver on-line".

Se o comando falhar, entre em contato com seu banco imediatamente e confirme que nenhuma atividade indevida foi realizada em sua conta. Troque também todas as senhas das contas cadastradas em seu smartphone, incluindo redes sociais e e-mail.

 

O que dizem os bancos

 

O Itaú diz que orienta aos clientes não anotar senhas em aplicativos, e-mails ou mensagens, além de não repetir senhas e sempre usar o bloqueio de tela do celular.

“Informamos ainda que todas as comunicações de golpes ou sinistros sofridos por nossos clientes são avaliadas de forma minuciosa e individualizada, não havendo, portanto, uma solução padrão para todos os casos”, informou a instituição.

Por conta dos relatos de roubos de celulares para acessar aplicativos de bancos, o Procon-SP notificou instituições financeiras nesta sexta-feira (18), pedindo explicações sobre seus métodos de segurança.

[bleony]

Está crítico esse problema. Acho estranho que alguém ainda a note esses dados no próprio smartphone. Por via das dúvidas, hoje mesmo já coloquei em prática a dica que o [mention]AdrianoGH [/mention] postou aqui
https://r.tapatalk.com/shareLink/topic?share_fid=21712&share_tid=197394&url=https%3A%2F%2Fforum%2Emacmagazine%2Ecom%2Ebr%2Findex%2Ephp%3F%2Ftopic%2F197394-APP-que-coloca-senha-para-abrir-qualquer-APP&share_type=t&link_source=app


Enviado do meu iPhone usando Tapatalk

[Matheus O.]

Engraçado essa situacão, a mais ou menos 3 meses atrás eu sofri um assalto, pediram a senha do meu celular com a arma na cabeça, logicamente passei. Mas para acessar a minha conta do banco eles conseguiram facilmente e simplesmente fizeram um empréstimo em meu nome de 7mil no BB, lógico registrei tudo na delegacia em um B.O. e o transtorno foi tão grande que ao tentar resolver a situação no bb, visto que o dinheiro foi transferido para uma conta corrente desconhecida sabe o que disseram? "Sr. pq o senhor não passou a senha errada para eles" eu retruquei "Talvez eu nem estaria aqui hoje vivo."

Enfim, nada que um processo não resolva. 

Mas sobre o caso, existe uma FALHA GIGANTE no Banco Inter onde, ao logar com Face ID (Se estiver habilitado) Você consegue transferir QUALQUER valor para QUALQUER CONTA via PIX sem digitar a senha do cartão, ao contrário do Nu Bank que pede, para quem tem, testem e MUITO cuidado. Atualmente eu e minha esposa ao sair de casa desligamos de todos os bancos, todo cuidado é pouco. 

[wendelhp]

Realmente são poucos os bancos que pedem a senha duas vezes….

Por ex: ambos os que eu trabalho não pediram (Inter e Santander)

Ideal é não permitir login com biometria nos apps dos bancos!


Sent from my iPhone using Tapatalk

[AdrianoGH]

14 horas atrás, bleony disse:

Está crítico esse problema. Acho estranho que alguém ainda a note esses dados no próprio smartphone. Por via das dúvidas, hoje mesmo já coloquei em prática a dica que o [mention]AdrianoGH [/mention] postou aqui
https://r.tapatalk.com/shareLink/topic?share_fid=21712&share_tid=197394&url=https%3A%2F%2Fforum%2Emacmagazine%2Ecom%2Ebr%2Findex%2Ephp%3F%2Ftopic%2F197394-APP-que-coloca-senha-para-abrir-qualquer-APP&share_type=t&link_source=app


Enviado do meu iPhone usando Tapatalk

Além disso, também não habilito o TouchID/FaceID para apps de banco e nem deixo (pré)salvo os dados das minhas contas (agência/conta), ou seja, toda vez que acesso o app preciso preencher o "login" antes da senha.

Abs,

[bleony]

Além disso, também não habilito o TouchID/FaceID para apps de banco

Pois é. Já tinha lido isso, mas não entendi muito bem a importância/utilidade.

e nem deixo (pré)salvo os dados das minhas contas (agência/conta), ou seja, toda vez que acesso o app preciso preencher o "login" antes da senha.

Pois é. Pena que tem bancos que não permitem fazer dessa forma.


Enviado do meu iPhone usando Tapatalk

[Adriano Santana]

Matéria trazida hoje aqui mesmo, pelo Luiz Gustavo Ribeiro. 

Mostra que as coisas podem começar à mudar, a Apple e Google sentaram com o Procon essa semana e estão ajustando junto as operadoras um método afim de facilitar/agilizar o "apagar" o iPhone remotamente. Mais informações no link abaixo.

https://macmagazine.com.br/post/2021/06/24/apple-facilitara-apagar-iphones-roubados-garante-procon-sp/

[x-factor]

Mas ainda não entendi como eles burlam a autenticação inicial via FaceID.