Ontem de noite eu tive contato com um dos fios mais assustadores que já li nos últimos dias relacionados a roubo de celular e o que fazem com ele a partir disso. Em resumo, este rapaz teve o celular roubado e depois disso foi só dor de cabeça: sacaram dezenas de milhares de reais de suas contas bancárias e as suas tentativas de resolução do problema com os bancos foi mais do que pífia, sendo pouco veloz e absurdamente estressante. O alcance dessa história foi tal que saiu até na Newsletter Garimpo de hoje citando o caso:
Tá rolando uma história tensa no Twitter sobre roubo de celular e a falta de segurança envolvendo os aplicativos bancários. Após voltar de uma viagem, o rapaz teve o celular surrupiado e os ladrões meteram uma dívida de mais de R$ 100 MIL nos bolsos dele. Mesmo tentando cancelar os cartões, reaver o dinheiro e tudo o mais, os bancos se mantêm em estado de “b i x a muda”. A denúncia deixou muita gente preocupada.
Como se não bastasse, essa semana no TikTok vi ao menos duas mulheres relatando situações relacionados a assaltos lá em São Paulo - basta começar por aqui, aqui e aqui.
Crio esse tópico para registrar o assunto e, no melhor dos cenários, caso não tenha nada sobre o assunto, isso se torne uma pauta para o Tecnocast e para uma reportagem especial. Sei que isso parece flagrante em São Paulo e parece haver forte relação com o PCC, mas esse modus operandi logo pode ser exportado pra outros lugares do país - como em Manaus, cidade onde moro.
Também registro esse tópico para que a comunidade possa, desde já, fornecer dicas, sugestões e outras soluções que uma pessoa comum pode adotar para evitar esse transtorno ou atrasar qualquer prejuízo se o roubo ou furto for realizado.
Sabemos que nenhum sistema é infalível, mas ainda não consegui entender como o ladrão conseguiu tudo isso em tão pouco tempo
Se os aplicativos estão bloqueados por reconhecimento facial só é possível desbloquear usando o reconhecimento facial ou a senha de bloqueio do aparelho, sem fazer isso você não chega na tela de login.
Pensando extremo, podemos supor que o celular era um Android e por não ter uma reconhecimento fácil 3d e sim por comparação de imagem de algum jeito o cara imprimiu uma foto da galeria e desbloqueou.
Ok, isso explicaria o acesso ao app do Nubank
Ele conseguiria trocar a senha de acesso do Nubank e sabendo a nova senha ele poderia visualizar a senha de quatro dígitos que é usada para as transações e criar cartão virtual.
Agora para fazer alguma movimentação no app do BB é mais complicado
Ele precisaria da senha de 6 dígitos e para a trocar essa senha você tem duas opções:
Ir ao caixa eletrônico
Trocar pelo celular informando os quatro últimos dígitos do cartão + código de segurança. Depois o app pede para ir ao caixa eletrônico para trocar a senha no chip.
Enfim, estou pontuando isso pq realmente n consegui acompanhar a história kk
isso está acontecendo desde o final do ano passado, e os caras estão bom para limpar conta e dar prejuízo.
Recomendação, se tiver condição, compra outro celular para deixar em casa ou lugar confiável e deixa aplicativos de banco mais importante e que o você usa no dia, usa aplicativo do banco menos importante no seu celular cotidiano; desabilite login por digital ou face de banco e serviços importantes; habilite pin ou outro mecanismo de segurança no aplicativo de seu e-mail ou serviços importantes; faz um e-mail especifico para serviços bancários ou algo importante,
Lendo a história no Twitter, acendeu o alerta que o Nubank tem uma segurança falha.
Falando especificamente sobre a experiência no iPhone, o app do Nubank permite que seja feito o desbloqueio com a senha do celular caso o Face ID não seja reconhecido duas vezes seguidas — não lembro como é com o Touch ID, mas creio que seja parecido.
Na minha opinião, o Nubank — como fazem outros bancos — deveria permitir acesso apenas com a biometria. Se a biometria falhar, deveria pedir outra senha, como a senha de login no app (aquela que usa no primeiro login com o CPF).
Os bancos também deveriam invalidar o acesso por biometria se forem detectadas mudanças no Face ID e Touch ID.
Ainda sobre o Nubank, lendo as respostas no Twitter, alguém sugeriu que o Nubank permite trocar a senha de acesso ao app pelo e-mail. Se for esse o caso, é uma falha gravíssima, pois com a senha de acesso ao app é possível visualizar a senha do cartão, e com a senha do cartão é possível autorizar transações.
Não sei como o Nubank resolveria visto que é um banco digital. O jeito, por enquanto, é usar um e-mail diferente do que fica no celular, ou usar um app de e-mail com bloqueio por senha.
Por isso que eu falo que algumas operações de segurança tinham de ter prazo mínimo para serem ativadas, uma troca de senha deveria gerar um bloqueio temporário de 24h ou 48h.
Permite pq fiz isso varias vezes recentemente quando o app deu piti e não carregava direito ou não me deixava logar nele.
A minha sugestão acima minimiza o perigo disso e é absurdamente simples de implementarem.
Os bancos teria que ter acesso a um dos sistemas de segurança mais restritos do celular, que a digital ou a face, e tanto Apple e Google (e derivados) não vão permitir isso, e até concordo com eles em não permitir e o tornar o mais burocrático possível para mudar para ter mais segurança.
A solução mais viável é exigir senha nas operações, Itaú e BB usa senha de um sistema terceiro que é a do cartão de débito para qualquer transação que se faça no aplicativo.
Não sei no Android, mas no iOS e iPadOS é possível determinar se o rosto ou os dedos registrados mudaram sim, através da propriedade evaluatedPolicyDomainState da classe LAContext do Local Authentication, framework responsável pela interação com o Face ID e Touch ID no iOS.
Acho que o sistema de autenticação deve ser pensado muitíssimo bem. Qualquer descuido já deixa o sistema propenso a falhas.
No caso do Nubank, hoje, não é possível proteger o app sem biometria. Ou o app fica protegido por biometria ou não fica protegido.
Pedir a senha de acesso caso a biometria não seja reconhecida também seria falho, pois seria possível alterar a senha pelo e-mail — e a maioria deixa o e-mail logado no celular.
Pedir a senha da tela de bloqueio abre a brecha de alguém te ver digitando a senha, por isso acho que bancos não deveriam dar acesso com a senha do celular.
O que eu fiz aqui, por ora, foi deixar a biometria do app ativada e trocar o e-mail de cadastro para outro, que não está logado no celular.
Fiz isso, mas sejamos práticos, qual a porcentagem da população que vai fazer isso?
Aliás, eu troquei o e-mail sem nem me pedirem alguma confirmação, além do desbloqueio do app pela biometria. Deveriam pedir a senha de acesso ou, pelo menos, autenticar a biometria novamente para confirmar que sou realmente eu fazendo a alteração.
Os bancos… especialmente os tradicionais, deveriam ter no caixa eletrônico um botão atômico chamado “Bloquear TUDO”. A hora que “deu mer**”, o cliente tem a opção de simplesmente explodir todos os acessos e assim proteger a conta. Assim ele pode, com calma, ir pessoalmente na agência em outro dia e reestabelecer os acessos aos poucos.
E como sempre, ativar autenticação de 2 fatores e biometria em tudo o que for possível.
Pra quem usa iPhone, o “plano de emergência” é o seguinte:
Correr para um PC, acessar o iCloud e marcar o celular como roubado. Bloquear e limpar remotamente o aparelho.
Trocar as senhas de tudo o que for possível. (Começando pelo Google, iCloud e Microsoft). Ver lista dos serviços mais comuns no final.
Se possível, ir pessoalmente em um ponto de atendimento da sua operadora para bloquear seu número e já comprar um Sim Card novo com o seu número antigo.
Tudo isso precisa ser feito ao mesmo tempo… Se você troca sua senha do e-mail, mas não bloqueia o telefone, o “oponente” vai conseguir redefinir a senha do e-mail usando o telefone. Se você bloqueia o número do telefone, mas não troca a senha do e-mail, ele consegue recuperar as suas senhas a partir do e-mail.
Pra quem usa Android, a dica é: Troque por um iPhone.
Lista dos serviço mais comuns que precisam ter as senhas trocadas imediatamente:
Google (Gmail), Microsoft (Hotmail, Outlook), Yahoo, Telegram, Whatsapp. Esses tem que ser os primeiros pois a partir deles um oponente consegue escalar os acessos.
(Aproveite para encerrar todas as sessões ativas, em todos os dispositivos)
Gerenciadores de senhas (1Password, Bitwarden, etc)
Bancos (Bradesco, Itaú, Santander, Caixa, Banco do Brasil, NuBank, BS2, Inter, etc)
(Aproveite para bloquear todos os cartões virtuais que você tem e que estão em uso nos outros serviços)
Tava demorando…