...

Carlos Augusto Galhiego Vieira (*)


Não é novidade que o roubo de celulares tem se intensificado no Brasil. Só no estado de São Paulo, o aumento foi de 47% entre maio de 2020 e 2021. Isso significa que, todos os dias, são roubados 144 celulares, totalizando mais de 50 mil celulares por ano, de acordo com registros da Secretaria de Segurança Pública de São Paulo no ano passado. Apesar dos números alarmantes, poucos sabem dos riscos envolvidos quando o smartphone vai parar nas mãos de pessoas mal-intencionadas.
Hoje vários cidadãos guardam informações pessoais no celular. São fotos, vídeos, lista de contatos, histórico de localização, aplicativos de redes sociais, histórico de conversas, anotações - inclusive de senhas - e aplicativos de bancos com acesso a consulta de saldos e investimentos, o que torna as transações financeiras mais rápidas e fáceis.
Com a utilização do Pix, os números de sequestros-relâmpago também aumentaram. Dados da Secretaria de Segurança Pública apontam que, de janeiro a julho, foram 206 boletins de ocorrência deste tipo de crime em São Paulo, o que representa um incremento de 39% se comparado com o mesmo período em 2020. Normalmente, os bandidos rendem as vítimas e as obrigam a transferir o dinheiro pelo celular, via Pix, para uma determinada conta. A preocupação com esses casos fez com que o Banco Central criasse possibilidades adicionais de limitações dos valores de transferências com destino a contas de pessoa física e MEI, em horários específicos, visando mitigar o dano em potencial desses crimes.
Sabemos que a vida dos bandidos é um jogo infinito de tentativa e erro, onde eles vão tentando formas de subtrair o bem alheio para o benefício próprio, podendo ou não utilizar a violência para isso. Quando uma tentativa obtém sucesso, a técnica é disseminada para outros membros de grupos criminosos. É neste ponto que entra o processo de combate e prevenção à fraude, com a finalidade de combater e tentar mitigar, ao máximo, o sucesso desses criminosos.
Para isso, é importante entendermos como funcionam essas fraudes em um contexto geral. Quando uma pessoa obtém de forma ilícita o celular de outro indivíduo, ela utilizará vários meios, alguns relativamente simples, para acessar o ambiente protegido. Os principais meios utilizados para acessar a área \"logada\" do celular são:
• Acesso sem obrigatoriedade de utilização de senha/biometria;
• Tentativa de senhas frequentemente utilizadas e fáceis de adivinhar (há diversas listas na internet);
• Obtenção de informações pessoais por meio de notas de emergência em área que não esteja logada;
• Engenharia social/phishing direcionado ao dono do celular, seja por ligação ou envio de mensagens;
• Utilização de vulnerabilidades conhecidas, especialmente em ambientes desatualizados.
É improvável que os fraudadores utilizem técnicas de bypass do processo de biometria das fabricantes, especialmente em modelos mais modernos. Quando está na área logada do celular, o fraudador precisa ter acesso aos aplicativos restritos. Para isso, os criminosos seguem uma lista de ações para tentar obter as credenciais de acesso. Entre elas estão:
• Busca de palavras-chave relacionadas a \"senha\" em aplicativos de mensagens, e-mail e blocos de notas no celular (pode parecer estranho, mas grande parte da população utiliza essa prática de armazenar senhas localmente ou para compartilhar com familiares);
• Obtenção de dados pessoais em redes sociais para tentativa de adivinhação de senha;
• Fotos de documentos com informações pessoais e dados de cartão de crédito;
• Tentativa de senhas frequentemente utilizadas e fáceis de adivinhar (há diversas listas na internet);
• Alteração de senha através do \"Esqueci minha senha\" e utilização do próprio número de celular como MFA, quando aplicável;
• Engenharia social/phishing direcionado ao dono do celular (ligação ou SMS).
Para prevenir e mitigar ataques decorrentes do roubo de celular, é importante utilizar análises comportamentais com base nos perfis do usuário e dos possíveis fraudadores. Como funciona na prática? Um usuário que esteja realizando uma transação legítima dificilmente tentará acessar a conta com senha inválida algumas vezes, mesmo que obtenha sucesso depois da investida. É improvável que também responda a tokens inválidos ou realizem transações para algum destinatário e banco com os quais nunca tenha se relacionado.
Esta ordem não é fixa e requer modelos altamente treinados para evitar falsos positivos e negativos. Da mesma forma, nenhuma proteção será efetiva em 100% dos casos. Por isso, é importante ter regras de contingência caso os modelos não detectem comportamentos fraudulentos. Para mitigar problemas, as principais ações recomendadas são: colocar senha no chip do celular; utilizar senhas fortes e autenticação de múltiplos fatores, sempre que possível; não reutilizar senhas em aplicativos distintos; usar senhas no bloqueio da tela do aparelho; manter o software atualizado; remover senhas que estejam anotadas ou compartilhadas; utilizar gerenciadores de senha; utilizar segundo fator de autenticação forte e ter um celular específico para manusear as contas de banco onde tem as maiores economias.
Se o celular for roubado, o usuário deve realizar um boletim de ocorrência e tomar algumas ações para evitar prejuízos e dor de cabeça. Entre elas, destacam-se:
• Utilizar as ferramentas de rastreio do aparelho;
• Apagar todo o conteúdo do celular de forma remota, segundo orientação fornecida pelos fabricantes;
• Ligar imediatamente para o banco;
• Alterar todas as senhas;
• Notificar a lista de contatos o mais rápido possível;
• Bloquear a linha celular utilizando o IMEI;
• Nunca informar senha ou PINs de autenticação por telefone ou meios não oficiais das instituições;
• Acessar a ferramenta Registrato do Banco Central para verificar se os dados não foram utilizados para abertura de contas ou empréstimos.
Neste momento em que os celulares estão na mira dos criminosos para roubo de dados e de dinheiro, a dica é que o cidadão permaneça sempre vigilante e atento. Redobrar os cuidados com segurança pode ser mais rápido e simples do que remediar prejuízos ocasionados pelo acesso indevido a dados que deveriam ser só seus.
(*) Carlos Augusto Galhiego Vieira é Fraud Prevention Manager da Topaz, empresa do Grupo Stefanini especialista em soluções para o mercado financeiro.