podapps logo

Seja iPhone ou Android, veja como criminosos conseguem zerar sua conta bancária após um furto


📅

Mais uma vez… Engenharia Social!!

Em uma das operações realizadas pela polícia civil contra quadrilhas limpa-conta, especializadas em invadir contas bancárias após o furto de celulares, policiais obtiveram informações importantes de como o crime acontece. Diferentemente do que disse a Folha de São Paulo, a prática não se aplica somente aos iPhones.

Não importa o quanto você estuda,
a solução do mais complexo pode estar no mais básico.

Segundo os criminosos, é possível sim, desbloquear smartphones, incluindo iPhones. Conforme o delegado Fabiano Barbeiro, responsável pela prisão da quadrilha, a técnica usada pelos criminosos era muito mais simples do que poderia imaginar todos os técnicos –ao menos a técnica utilizada pela quadrilha.

A “técnica”

Para conseguir o desbloqueio dos aparelhos, criminosos removem o chip SIM do aparelho furtado e coloca em um outro aparelho desbloqueado. Em seguida, passa a fazer pesquisas nas redes sociais (especialmente Facebook e Instagram) para saber qual conta estava vinculado àquele número de linha.
Depois, passa a procurar o endereço de email que a vítima utilizava para fazer o backup do conteúdo do aparelho, especialmente em nuvens como iCloud e Google Drive, procurando primeiro pelas extensões @gmail.com.
Ao baixar as informações da nuvem no novo aparelho, passa a procurar ali informações ligadas à palavra “senha” e, segundo criminosos, obtém geralmente os números e acesso do celular e das contas bancárias.
Com essas informações em mãos, coloca o chip no smartphone da vítima e, com as senhas em mãos, repassa o aparelho para membro da quadrilha responsável pelo acesso às contas e pela transferência de tudo o que conseguir para contas bancárias de laranjas. Há casos em que laranjas já são presidiários.
O suspeito, técnico em informática de 22(!) anos, cujo nome não pode ser divulgado, a pedido da polícia, disse ainda que aprendeu manutenção de smartphones no centro velho de São Paulo (nos arredores da da Santa Efigênia) e que ao menos três pessoas dão aulas disso para criminosos interessados em aplicar golpes com celulares.
Segundo a polícia, também descobriram com o criminoso que, na mesma região, há um grupo de nigerianos conhecidos por terem softwares capazes de desbloquear os celulares –um método diferente do utilizado por ele.
No ano passado, 12 pessoas foram presas e 28 identificadas como integrantes do esquema. De acordo com o governo de São Paulo, a Polícia Civil do Estado tem 12 inquéritos em andamento.
Segundo os policiais, os criminosos preferem celulares já destravados e os furtadores, que conseguem, recebem valores até maiores por isso.
Conhecido como “tapa”, o furto é realizado quando jovens de bicicleta passam e levam os celulares quando estão sendo usados pelas vítimas. Esses criminosos mantêm o aparelho desbloqueado ao abrir a câmera do celular, o que impede o bloqueio automático. Eles também ativam o modo avião, que evita o rastreamento.
Policiais ouvidos pela Folha de São Paulo afirmam que algumas invasões à smartphones, mais complexas, ainda estão sendo estudadas.
O aumento desse tipo de crime tem preocupado a polícia e, também, empresas de telefonia e bancos, devido ao ressarcimento e ações judiciais.*
A Febraban tem repetido que os aplicativos dos bancos “contam com elevado grau de segurança desde o seu desenvolvimento até a sua utilização, não existindo qualquer registro de violação dessa segurança”.
Para que os aplicativos bancários sejam utilizados, há a obrigatoriedade do uso da senha pessoal do cliente. Os dados de uso do aplicativo, bem como a senha do cliente, jamais são armazenadas pelos aplicativos dos bancos nos celulares dos clientes.
OPINIÃO:
*Quando surgiu matérias deste tipo, trouxe para o debate na Zona Segura, pois discordo do ressarcimento. Mesmo discordando, o ouvinte e amigo Gabriel R F, levou informações importantes sobre os recursos de segurança que os bancos podem (e devem?) implementar em seus aplicativos e não o fazem. Venha debater mais sobre isso com a gente lá na Zona Segura no Telegram.
Fonte: MacMagazine e Folha de São Paulo
Se quiser saber um pouco mais sobre Engenharia Social, ouça os episódios abaixo:





Atualização 09 de Julho de 2021 as 12h39.
Talvez eu tenha esquecido de passar à vocês o mais importante, as dicas de como se prevenir. Não adianta expor um risco e não trazer meios de mitigá-los. Ao menos é assim que o PodApps tem agido desde sua criação.
O que fazer para minimizar o risco de conta zerada, caso sofra um roubo ou furto?

Senha no CHIP!

Ativar a senha no CHIP vai reduzir drasticamente os possíveis danos, isto porquê quando o criminoso inserir seu CHIP em outro aparelho, vai solicitar uma senha para permitir/liberar a conexão com a operadora. É importante salientar que eles possuem uma quantidade exata de tentativas, no meu caso, são 3. Errou 3x o CHIP é bloqueado automaticamente e só indo na operadora para desbloquear ou transferir para um novo CHIP. Mas, só ativar o PIN do CHIP SIM não é tão seguro, pois são números padrões e de conhecimento geral. Sendo:
VIVO: 8486 | TIM: 1010 | Claro: 3636 | Oi: 8888
Então é importante que você altere este PIN para um número que seja somente de seu conhecimento. Importante salientar que, no momento da escrita desse post, os CHIPs só permitem configurar um novo PIN de 8* dígitos apenas, então evite datas de aniversário ou qualquer outra coisa assim, pois são informações que conseguimos em qualquer rede social.
*até Segunda-feira, 11 Outubro 2021 as 17:48:04 está matéria demonstrava que era possível apenas 4 dígitos.

Não use, nunca, seu número de telefone como recuperação de conta e nem como 2FA!

A dica de cima já mitiga em 100% os riscos dessa dica, mas é bom passar pra que tenham ciência em futuras ações. Facebook, Twitter, Instagram, entre vários outros serviços na web permitem configurar seu número de telefone para recuperação de senha. NÃO O FAÇA! É uma cilada Bino. Use gerenciador de senhas ou apps destinados para 2FA como o famigerado Authy (embora eu ainda prefira concentrar tudo no gerenciador de senhas). Mas é melhor feito do que perfeito, se o serviço só tiver este meio de dupla autenticação de “segurança”, opte por um número de telefone que não fique com você, um familiar, outro telefone que possua e que não ande com você diariamente.

Mensagens via WhatsApp, cuidado!

Apple, Samsung, Motorola, Google, embora saibam seu número de telefone, eles NUNCA entram em contato via WHATSAPP. Isso deveria ser um banner no site deles, mas ok, tem gente que ainda acredita e é preciso desconstruir isso nas pessoas, o WhatsApp embora facilitador de comunicação não é o paraíso. Golpes, hacks, estelionato, tudo acontece por ali também. Então se alguém se passando por uma dessas empresas entrar em contato com você, ignore e bloqueie. Vai por mim, se você tiver um problema com a empresa e eles forem entrar em contato com você, pela mais remota possibilidade, eles o fizerem pelo WhatsApp e você ignora-los ou bloqueá-los, eles irão entrar em contato por outros meios. Sempre bom validar e se você já tiver aberto um chamado com eles e está aguardando retorno, eles informam o número para que você saiba que é verídico, se não informarem, pergunte!

Defina uma senha forte

Parece clichê, mas sim, é preciso reforçar que senhas 1234, 0000, 12345678, qwerty, senha, password, não são senhas fortes e muito menos seguras. Por 5 anos consecutivos entre vazamentos e análises, estas senhas estão entre as TOP 10 das mais usadas. Houve um vazamento com senhas alfanuméricas com até 20 caracteres e praticamente todas as combinações (bilhões). Procure manter uma senha forte e longa. Como dica de senha forte, longa e fácil, você pode usar o nome do serviço + uma palavra, por exemplo “Telegram-Saez” ou pra complicar ainda mais “T3l3gr@m-S@3z”. Se você quiser também, pode usar letras como “ç” e o vazio da tecla espaço ”   “. Caracteres especiais sempre ajudam. E se estiver considerando criar uma senha e quer saber se ela é forte, há um site pra isso:
https://howsecureismypassword.net
Esta é uma senha de 30 caracteres gerada pelo 1Password. Entende como é importante uma senha forte? A senha gerada foi essa: 7XWoHzNhg4eW3gtyGFGn-NzxKy9ept