Bandidos miram os smartphones não pelos aparelhos, mas pelas senhas

Minutos depois de ter o smartphone levado em um assalto no centro de São Paulo, em dezembro do ano passado, a jornalista Marina Teodoro, já ciente da crescente modalidade criminosa que invade contas bancárias por meio de aparelhos roubados, ligou apressada para Itaú e Nubank, os dois bancos dos quais é cliente.

• A pandemia mostrou que a inovação será cada dia mais decisiva para seu negócio. Encurte caminhos, e vá direto ao ponto com o curso Inovação na Prática 

Na ligação, pediu para que os acessos e os cartões fossem suspensos, e recebeu a confirmação de que suas reservas financeiras estavam resguardadas. No decorrer dos dias, registrou o boletim de ocorrência na Polícia Civil, pediu para que o celular fosse inutilizado via bloqueio feito pela Anatel e seguiu o protocolo recomendado pelos policiais: alterou as senhas das redes sociais e dos aplicativos que mais usava. Ao considerar as incontáveis camadas de segurança que estavam protegendo sua vida digital, sentiu que o maior prejuízo seria ter de comprar um novo dispositivo. No entanto, isso não foi o suficiente para impedir que ela fosse vítima de um golpe financeiro, passados alguns dias do ocorrido.

De fato, nos aplicativos e nos serviços em que Marina pediu o bloqueio e alterou os acessos, nada ocorreu. O problema foi em uma conta pouco usada num banco no qual realizava apenas algumas movimentações. O criminoso conseguiu acesso ao app, retirou a quantia ali guardada e fez um empréstimo que totalizou um prejuízo de 20.000 reais. Para reaver o montante, Marina penou por quase três meses tentando provar ao banco que foi vítima de um crime. Conseguiu, mas, como consequência de todo o trauma e estresse que viveu, adquiriu uma alergia na pele que se tornou persistente. 

Marina, além de ser vítima do mais novo golpe na praça, faz coro junto com outros brasileiros que, ao se valerem da digitalização das várias faces da vida, enfrentam a dificuldade de rastrear e garantir que todas as contas, serviços e portas virtuais estejam realmente seguras. Segundo um relatório da empresa de cibersegurança russa Kaspersky, o aumento de ataques que invadem as contas das vítimas a partir de aplicativos bancários foi de 20% em relação a 2019 e representou mais da metade (54%) das transações fraudulentas ao redor do mundo.

A verdade é que a vida se digitalizou no último ano, e boa parte de nossas interações, incluindo as comerciais e financeiras, acontece online. Uma pesquisa encomendada pela IBM à consultoria Morning Consult apontou que, só no Brasil, cada pessoa criou em média 17 novas contas em serviços digitais durante a pandemia. O levantamento da Kaspersky apontou que o período, com a adoção generalizada do internet banking e do e-commerce, impulsionou o interesse dos bandidos, que diversificaram o repertório das investidas criminosas. Não raro o tema é cada vez mais debatido no noticiário e deixou as páginas de segurança e tecnologia para ser assunto de polícia. 

Apesar de crescente, ainda não há estatísticas oficiais sobre o aumento dos casos, mas a situação é considerada tão grave do ponto de vista dos usuários que a Fundação de Proteção e Defesa do Consumidor (Procon) cobrou de bancos e fintechs uma solução para o problema. Para a Federação Brasileira de Bancos (Febraban) há certo impasse sobre o assunto. A instituição reitera que os aplicativos bancários disponíveis atualmente são seguros, mas que os bandidos focam o elo fraco da corrente: os usuários, que, via de regra, são mais descuidados com senhas e códigos de confirmação de identidade.

Segundo a Febraban, a maioria dos furtos ocorre em vias públicas e com pessoas cujo aparelho está em uso. “Dessa forma, os criminosos têm acesso ao celular já desbloqueado e, a partir daí, realizam pesquisas no aparelho buscando por senhas eventualmente armazenadas pelos próprios usuários”, diz a Febraban em comunicado. Se antes o conselho era “não guardar as senhas dos cartões na mesma carteira”, agora é importante considerar não registrar no bloco de notas do celular.

Também há casos de clientes que usam a mesma senha de acesso do banco em outros aplicativos, sites de compras ou serviços na internet, e esses apps, em grande parte dos casos, não contam com sistemas de segurança robustos e a proteção adequada das informações dos usuários.

As formas de autenticação em duas etapas por vezes não são usadas, e os usuários costumam usar métodos de recuperação de senha via SMS, que agora vai parar justamente no colo dos bandidos. Para Carol Lagoa, cofundadora da empresa de soluções em tecnologia Witec, a preocupação não deveria estar em torno das ferramentas disponíveis, e sim do usuário que as usa. “Somos o lado mais vulnerável”, afirma Lagoa. “As pessoas estão mais preocupadas, mas isso não tem sido suficiente.”

Os roubos de smartphone para acessar aplicativos de bancos e credenciais importantes são apenas uma faceta do problema. Com frequência, há o relato de algum número estranho se passando por outras pessoas nos aplicativos de mensagens ou mesmo as tentativas de “clonagem de WhatsApp”, que se aproveitam de quem não tem a autenticação em dois fatores ativa no aparelho. Uma pesquisa rea­lizada em 2020 pela empresa de segurança na internet PSafe sugere que 8,5 milhões de brasileiros já tiveram seu WhatsApp clonado em decorrência de algum golpe. E, atualmente, há também a agravante de que o aplicativo de mais de 160 milhões de usuá­rios aglomera também a função de carteira digital que, em caso de invasão, possibilita que os criminosos movimentem até 1.000 reais por dia via cartões de crédito e débito.

De acordo com Ghassan Dreibi, diretor de segurança na América Latina do conglomerado Cisco, é preciso lembrar que essas táticas de “engenharia social” usam ferramentas tecnológicas para se aproveitar da confiança das pessoas. Para o executivo, cabe às empresas criar um processo claro, honesto e simples de comunicação com os usuários, deixando transparente quais são as responsabilidades e os riscos no uso de ferramentas, e aos usuários cabe entender o que significa ter presença online e saber que simplificar a vida, utilizar menos contas, por exemplo, é um caminho para a segurança. “Começa por entender que abrir uma conta significa se expor para um novo mundo, que é digital e requer algum conhecimento tecnológico”, diz. “Teremos de lidar com essas características junto com o governo, pensar nisso, atuar em defesa e criar mecanismos de transformação digital. As pessoas precisam de informações oficiais, e a tecnologia precisa ajudar o cidadão.”

Se o número de contas de usuários aumentou durante a pandemia, o cuidado com a criação de novas credenciais não seguiu o mesmo ritmo: a IBM aponta que 82% dos usuários reutilizaram credenciais, como e-mail e senha, quando entraram em novos serviços. Segundo Claudio Bannwart, diretor no Brasil da empresa de segurança digital Check Point, a integração de diferentes ferramentas, como logins cruzados entre redes sociais e aplicativos, gerenciadores de senhas, bem como pagamentos online com dados autocompletados, por exemplo, fazem com que mínimos descuidos abram a possibilidade de o criminoso conseguir os dados necessários para uma incursão mais elaborada, como o roubo de contas bancárias.

“São tantas entradas que se torna difícil para um único serviço garantir que não haverá falhas na segurança. Uma empresa pode se resguardar partindo do pressuposto de que todos os acessos de usuários são fraudulentos, mas o descuido pode ocorrer do outro lado, por um funcionário que esteja em home office acessando o sistema da empresa por um computador desprotegido, por exemplo. A responsabilidade digital aumentou sobre todo mundo”, afirma Bannwart.

Apesar dos riscos por vezes esquecidos, não se pode deixar de lado o fato de que as garantias e as facilidades do mundo digital são tentadoras. No ano passado, a operação de serviços bancários via smartphone, por exemplo, representou 51% do total das movimentações feitas no país. O volume de transações feitas pelo celular chegou a 52,9 bilhões de reais, ante 37 bilhões no ano anterior. O salto geral foi de 64% em 2020, impulsionado pelo contexto da pandemia e do auxílio emergencial. 

É impensável voltar a uma vida que consistia em filas na agência bancária, caixas eletrônicos e transferências via TED ou DOC em um mundo onde tudo isso pode ser resolvido com alguns cliques na tela do celular. As empresas, dos mais diversos ramos, investem milhões em experiência do usuário e em como deixar seus aplicativos mais intuitivos e fáceis. Para Roberto Engler, líder de segurança da IBM no Brasil, a preferência por conveniên­cia muitas vezes supera as preocupações com segurança e privacidade, levando a comportamentos de risco, como reutilização de credenciais e uso de senhas mais fracas. “Infelizmente, grande parte das pessoas ainda não tem consciência sobre os riscos nem conhecimentos sobre as medidas que precisam ser tomadas para evitá-los”, afirma.

Se hábitos e descuidos das pessoas são parte do problema, o mesmo vale para empresas que, cada vez mais, armazenam dados e salvam informações dos usuários. Em outubro do ano passado, a base de dados de pacientes da Vastaamo, empresa finlandesa de consultas psicológicas, foi atacada e acabou na mão de bandidos. Além de extorquir a empresa, os criminosos também pediram valores em resgate aos pacientes, cujos registros de sessões de terapia corriam o risco de ser distribuí­dos na internet. Tudo isso em um país que investe em saúde digital e infraestrutura desde o final dos anos 1990 e é considerado um dos mais avançados do mundo nesse sentido. A ­Vastaamo, que não criptografou os dados dos pacientes e não adotou as melhores práticas de segurança, declarou falência após o ocorrido, em fevereiro deste ano.

O caso é um alerta para as empresas sobre as consequências de ter processos não seguros com as informações de usuários. Em agosto, a Lei Geral de Proteção de Dados passará a valer efetivamente no país, com a possibilidade de multas para as que não tiverem as melhores práticas. Apesar disso, para especialistas e advogados, é enorme o número de companhias que não estão adequadas às regras e podem ter problemas com a legislação e incorrer em pagamentos pesados — que podem chegar a 2% do faturamento da empresa, limitado a 50 milhões de reais.

Do outro lado, é importante que as pessoas— também busquem conhecer quais são seus direitos. De acordo com uma pesquisa feita pelo Instituto de Pagamentos Especiais de São Paulo (Ipesp), apenas 11% das pessoas entrevistadas afirmam conhecer “muito bem” as leis de proteção de dados e 45% acham que conhecem “mais ou menos”. 

Para entender a dimensão desse problema, basta lembrar que para aplicar um golpe virtual não são necessários muitos dados pessoais. Uma ou duas informações, como nome e telefone, podem concretizar uma investida agressiva dos bandidos, que utilizam essas informações para fraudes, aberturas falsas de contas e golpes em geral.

Segundo o advogado Fabrício da Mota Alves, diretor de direito digital do Serur Advogados, já existem centenas de decisões sobre a LGPD que tramitaram na Justiça comum. “As empresas estão em um cenário de muita incerteza e de risco muito elevado. Não há estudos ou estimativas que apontem quais setores precisam de maior atenção”, afirma, reiterando que não existe uma campanha em nível nacional sobre a importância dos dados e a entrada em vigor da legislação.

Engler, da IBM, afirma que, quando existem cultura e procedimentos de segurança em empresas, muitas pessoas trazem esses comportamentos para dentro de casa, compartilhando-os com familiares e amigos. “Acredito que, com a digitalização da sociedade, esses conhecimentos precisam ser massificados.” Para Dreibi, da Cisco, é preciso que usuários e empresas dediquem tempo para entender onde estamos e estudar o assunto. “O ser digital existe, não é algo da ficção científica, faz parte da vida real no pós-pandemia”, diz. Todo cuidado é pouco em nosso inseguro mundo novo.