"Você tinha aplicativo de banco no celular? Se sim, aconselho você a acessar suas contas para ver se nada aconteceu". O coração do analista de suporte Donald Jorge Cataliva, 28, ficou acelerado ao ouvir a recomendação do policial civil de São Paulo quando relatava os detalhes do furto de um celular.
LEIA TAMBÉM
O especialista em tecnologia ficou preocupado porque acreditava ser muito difícil os criminosos desbloquearem o aparelho, um iPhone 11 com reconhecimento facial (Face ID), e impossível realizarem transferências bancárias pelo smartphone, em razão das chaves de segurança.
"Como assim? Para acessar o aplicativo do banco eu coloco uma senha. Para validar a transação, eu coloco outra senha diferente", pensou ele, que teve o celular furtado no último 31 de março, na região central de São Paulo, por rapazes que passaram de bicicleta.
Depois de consultar as contas bancárias e realizar pesquisas pelas redes sociais, Cataliva descobriu duas coisas: o policial estava certo, uma conta havia sido invadida e cerca de R$ 5.000 transferidos em menos de 30 minutos depois do furto. Descobriu também que não era a única vítima.
"Quando eu vi aquele tanto de relatos [na internet], vi que a situação era pior do que eu imaginava. Não sou a primeira vítima", disse. "No mesmo dia em que fui fazer o adendo no boletim, tinha mais dois caras com o mesmo problema que eu. Todos do Itaú".
Conforme os policiais explicariam para Cataliva, versão também relatada por delegados e vítimas à reportagem, proliferam na capital paulista quadrilhas especializadas em furtar aparelhos celulares com o propósito de acessar os aplicativos de bancos para subtração de valores.
Os criminosos conseguem burlar sistemas complexos de segurança de celulares.
Ainda não há estatísticas oficiais, mas a situação é considerada tão grave que o Procon (Fundação de Proteção e Defesa do Consumidor) prepara ações para cobrar empresas envolvidas no setor para aumentar a proteção. Isso vale para toda a cadeia de serviços, segundo o órgão.
"O Procon já tomou conhecimento de uma quadrilha de receptadores de celulares cujo principal negócio ilícito não é a revenda do celular, mas a defraudação das senhas para fraudes bancárias. Isso está sendo feito por meio de um exército de hackers", disse o diretor-executivo Fernando Capez.
De acordo com o delegado Roberto Monteiro, responsável pelos distritos da Polícia Civil na região central de São Paulo, suas equipes vêm realizando um trabalho intenso para combater várias quadrilhas que passaram a atuar nesse segmento criminoso. Todos os dias, diz, são presas pessoas suspeitas de participação nesse tipo de esquema.
Ainda de acordo com Monteiro, as fraudes ganharam impulso desde o início da pandemia, quando os criminosos passaram a conseguir burlar os dispositivos de segurança com mais facilidade. Segundo ele, o principal alvo dos bandidos são os aparelhos que já estão abertos pelos usuários.
"Os bandidos perceberam isso [a quantidade de informações existentes no celular] e começaram a comprar, por valores mais elevados, celulares que eles conseguem com mais facilidade quebrar senhas de acesso. Geralmente são os Androides, ou celulares abertos, quando a pessoa está no Waze. A quebra do iOS é muito mais difícil, mas eles também conseguem", disse.
Essas quadrilhas, segundo ele, são formadas por brasileiros, mas há muitos sul-americanos e sul-africanos. O delegado afirma ainda que os criminosos costumam realizar as transferências durante a madrugada, para não despertar a atenção das vítimas.
"Hoje em dia os bancos digitais são muito vulneráveis para esse tipo de golpe. E o Pix também. O Pix é ótimo para facilitar a vida de todo mundo, mas para os bandidos foi muito interessante", avisa.
Monteiro aconselha o registro do boletim de ocorrência por parte das vítimas para que mais caso sejam esclarecidos, e criminosos, presos.
"Só tem um problema. Os bancos não têm ressarcido valores quando é utilizada a senha pessoal. Eles falam o seguinte: 'a obrigação dos clientes é guardar a senha. Se vazou, é porque a pessoa foi displicente na guarda'", disse.
Mesmo não tendo sido nada displicente com suas senhas, Amanda vem travando uma disputa judicial com o Bradesco, que se recusou a devolver todo o dinheiro subtraído pelos criminosos, após ter o celular roubado em junho do ano passado.
Os cerca de R$ 4.000 retirados da conta foram devolvidos, incluindo do empréstimo feito pelos criminosos pelo aplicativo, mas o banco se recusou a devolver gastos com o cartão de crédito (R$ 1.550), cuja existência a vítima desconhecia.
Ainda segundo a vítima, os criminosos também retiraram em torno de R$ 5.000 de uma conta do Nubank, mas os valores foram devolvidos cerca de dois dias depois, após a comunicação do crime. "Eu tinha todos os métodos de segurança ativados. Biometria, PIN, tudo", disse ela, que usava um celular com sistema Android, levado fechado e sem fornecimento de senha.
Outra vítima teve cerca de R$ 39 mil tirados de suas contas após o furto do celular (iPhone XR), mesmo com a utilização de reconhecimento facial e token para movimentações bancárias.
Ele conseguiu identificar um dos mecanismos utilizados pelos criminosos: eles invadiram o email da vítima e enviaram uma mensagem para a XP Investimentos se passando pelo cliente, alegando estar com dificuldades para movimentação de recursos em razão de falhas no sistema de reconhecimento facial.
Solicitaram, assim, que o dinheiro fosse enviado para uma conta no Mercado Pago. A transferência de cerca de R$ 33 mil foi feita (por ser o mesmo CPF) e, de lá, os criminosos movimentaram os recursos para outras contas em nome de pessoas jurídicas.
Além disso, fizeram pagamentos e transferências pelo PicPay, totalizando um rombo de cerca de R$ 5.000. Todos os recursos foram devolvidos pelas instituições.
Segundo Gustavo Monteiro, diretor da AllowMe, empresa especializada em proteção de identidades digitais, os casos mais comuns de fraudes são realizados por meio de aparelhos celulares com sistemas operacionais desatualizados ou levados ainda abertos. "Quando já estão destravados, eles conseguem recuperar informações para que possam inserir nova senha."
Quanto às fraudes mais sofisticadas, com aparelhos celulares fechados, com reconhecimento facial e biometria, ele diz que ainda há dúvidas de onde está o problema.
"É difícil afirmar de maneira categórica. Os aplicativos, de maneira geral, são sistemas vivos e você está sempre fazendo atualizações e, consequentemente, pode, em alguma dessas atualizações, vir junto alguma vulnerabilidade."
Para ele, porém, não há sistema infalível. "Não existe sistema 100% seguro. Você está protegido de certos tipos de ameaça, mas não 100%", disse.
OUTRO LADO
A Febraban (Federação Brasileira de Bancos) afirma que os aplicativos de bancos são seguros, desde o seu desenvolvimento até a sua utilização, e não há registro de violação dessa segurança.
"Para que os aplicativos bancários sejam utilizados, há a obrigatoriedade do uso da senha pessoal do cliente. Os dados de uso do aplicativo, bem como a senha do cliente, jamais são armazenadas pelos aplicativos dos bancos nos celulares dos clientes", diz nota.
O Itaú Unibanco disse que solucionou o caso citado pela reportagem em abril deste ano, após reclamação do cliente, e que realiza investimentos em tecnologias, sistemas e melhores ferramentas de segurança, além de constantemente reforçar orientações para conscientização dos clientes sobre segurança.
"Ressaltamos que o aplicativo do Itaú é seguro e não pode ser acessado sem o uso de senha pessoal específica da conta corrente".
Já o Bradesco informou que seus aplicativos contam com elevado grau de segurança desde o seu desenvolvimento até a sua utilização, "não existindo qualquer registro de violação dessa segurança".
"Para que os aplicativos sejam utilizados, há a obrigatoriedade do uso da senha pessoal do cliente. Os dados de uso do aplicativo, bem como a senha do cliente, jamais são armazenadas pelos aplicativos do banco nos celulares".
O banco finaliza a nota dizendo que o "caso citado foi apurado e resolvido com a cliente", mas sem mencionar a ação em ainda em andamento.
Já o Mercado Pago informou que apenas o usuário é capaz e fazer movimentações pelo aplicativo. "No caso mencionado pela reportagem, uma transação pelo app só pode ser efetuada caso o usuário tenha fornecido suas credenciais ao fraudador ou o aplicativo do Mercado Pago já desbloqueado. Com a posse do celular e o PIN em mãos, um terceiro pode realizar o cadastro da biometria."
O PicPay informou que segurança é prioridade da empresa. "Os nossos clientes contam com diversas ferramentas para prevenir fraudes. Temos times dedicados a mitigar, monitorar e controlar riscos em tempo real. O caso específico mencionado pela reportagem já foi solucionado, e os valores estornados ao usuário", finaliza a nota.
A XP Investimentos informou que lamenta o ocorrido e que o cliente já foi ressarcido. "A XP reforça que segue os mais rigorosos padrões internacionais de segurança."
A reportagem não conseguiu contato com o Nubank.
+Lidas