Não é novidade que o roubo de celulares tem se intensificado no Brasil. Só no estado de São Paulo, o aumento foi de 47% entre maio de 2020 e 2021. Isso significa que, todos os dias, são roubados 144 celulares, totalizando mais de 50 mil celulares por ano, de acordo com registros da Secretaria de Segurança Pública de São Paulo no ano passado. Apesar dos números alarmantes, poucos sabem dos riscos envolvidos quando o smartphone vai parar nas mãos de pessoas mal-intencionadas.
Hoje vários cidadãos guardam informações pessoais no celular. São fotos,
vídeos, lista de contatos, histórico de localização, aplicativos de redes
sociais, histórico de conversas, anotações – inclusive de senhas – e
aplicativos de bancos com acesso a consulta de saldos e investimentos, o que
torna as transações financeiras mais rápidas e fáceis.
Com a utilização do Pix, os números de sequestros-relâmpago também aumentaram.
Dados da Secretaria de Segurança Pública apontam que, de janeiro a julho, foram
206 boletins de ocorrência deste tipo de crime em São Paulo, o que representa
um incremento de 39% se comparado com o mesmo período em 2020. Normalmente, os
bandidos rendem as vítimas e as obrigam a transferir o dinheiro pelo celular,
via Pix, para uma determinada conta. A preocupação com esses casos fez com que
o Banco Central criasse possibilidades adicionais de limitações dos valores de
transferências com destino a contas de pessoa física e MEI, em horários
específicos, visando mitigar o dano em potencial desses crimes.
Sabemos que a vida dos bandidos é um jogo infinito de tentativa e erro, onde
eles vão tentando formas de subtrair o bem alheio para o benefício próprio,
podendo ou não utilizar a violência para isso. Quando uma tentativa obtém
sucesso, a técnica é disseminada para outros membros de grupos criminosos. É
neste ponto que entra o processo de combate e prevenção à fraude, com a
finalidade de combater e tentar mitigar, ao máximo, o sucesso desses
criminosos.
Para isso, é importante entendermos como funcionam essas fraudes em um contexto
geral. Quando uma pessoa obtém de forma ilícita o celular de outro indivíduo,
ela utilizará vários meios, alguns relativamente simples, para acessar o
ambiente protegido. Os principais meios utilizados para acessar a área “logada”
do celular são:
- Acesso sem obrigatoriedade
de utilização de senha/biometria;
- Tentativa de senhas
frequentemente utilizadas e fáceis de adivinhar (há diversas listas na
internet);
- Obtenção de informações
pessoais por meio de notas de emergência em área que não esteja logada;
- Engenharia social/phishing
direcionado ao dono do celular, seja por ligação ou envio de mensagens;
- Utilização de
vulnerabilidades conhecidas, especialmente em ambientes desatualizados.
É
improvável que os fraudadores utilizem técnicas de bypass do processo de
biometria das fabricantes, especialmente em modelos mais modernos. Quando está
na área logada do celular, o fraudador precisa ter acesso aos aplicativos
restritos. Para isso, os criminosos seguem uma lista de ações para tentar obter
as credenciais de acesso. Entre elas estão:
- Busca de palavras-chave
relacionadas a "senha" em aplicativos de mensagens, e-mail e
blocos de notas no celular (pode parecer estranho, mas grande parte da
população utiliza essa prática de armazenar senhas localmente ou para
compartilhar com familiares);
- Obtenção de dados pessoais
em redes sociais para tentativa de adivinhação de senha;
- Fotos de documentos com
informações pessoais e dados de cartão de crédito;
- Tentativa de senhas
frequentemente utilizadas e fáceis de adivinhar (há diversas listas na
internet);
- Alteração de senha através
do "Esqueci minha senha" e utilização do próprio número de
celular como MFA, quando aplicável;
- Engenharia social/phishing
direcionado ao dono do celular (ligação ou SMS).
Para
prevenir e mitigar ataques decorrentes do roubo de celular, é importante
utilizar análises comportamentais com base nos perfis do usuário e
dos possíveis fraudadores. Como funciona na prática? Um usuário que esteja
realizando uma transação legítima dificilmente tentará acessar a conta com
senha inválida algumas vezes, mesmo que obtenha sucesso depois da investida. É
improvável que também responda a tokens inválidos ou realizem transações para
algum destinatário e banco com os quais nunca tenha se relacionado.
Esta ordem não é fixa e requer modelos altamente treinados para evitar falsos
positivos e negativos. Da mesma forma, nenhuma proteção será efetiva em 100%
dos casos. Por isso, é importante ter regras de contingência caso os modelos não
detectem comportamentos fraudulentos. Para mitigar problemas, as principais
ações recomendadas são: colocar senha no chip do celular; utilizar senhas
fortes e autenticação de múltiplos fatores, sempre que possível; não reutilizar
senhas em aplicativos distintos; usar senhas no bloqueio da tela do aparelho;
manter o software atualizado; remover senhas que estejam anotadas ou
compartilhadas; utilizar gerenciadores de senha; utilizar segundo fator de
autenticação forte e ter um celular específico para manusear as contas de banco
onde tem as maiores economias.
Se o celular for roubado, o usuário deve realizar um boletim de ocorrência e
tomar algumas ações para evitar prejuízos e dor de cabeça. Entre elas,
destacam-se:
- Utilizar as ferramentas de
rastreio do aparelho;
- Apagar todo o conteúdo do
celular de forma remota, segundo orientação fornecida pelos fabricantes;
- Ligar imediatamente para o
banco;
- Alterar todas as senhas;
- Notificar a lista de
contatos o mais rápido possível;
- Bloquear a linha celular
utilizando o IMEI;
- Nunca informar senha ou
PINs de autenticação por telefone ou meios não oficiais das instituições;
- Acessar a ferramenta
Registrato do Banco Central para verificar se os dados não foram
utilizados para abertura de contas ou empréstimos.
Neste
momento em que os celulares estão na mira dos criminosos para roubo de dados e
de dinheiro, a dica é que o cidadão permaneça sempre vigilante e atento.
Redobrar os cuidados com segurança pode ser mais rápido e simples do que
remediar prejuízos ocasionados pelo acesso indevido a dados que deveriam ser só
seus.
Carlos Augusto Galhiego Vieira - Fraud Prevention
Manager da Topaz, empresa do Grupo Stefanini especialista em soluções para o
mercado financeiro.
Nenhum comentário:
Postar um comentário