Golpe do celular invadido
O golpe do celular invadido (também conhecido como golpe do acesso remoto ou da mão fantasma) é uma fraude que ocorre quando o criminoso acessa o aplicativo do banco da vítima por meio de um software de acesso remoto.
O golpe do acesso remoto
O golpe ocorre quando um criminoso finge ser atendente de um banco e entra em contato com a vítima por algum meio: Whatsapp, SMS, email ou ligação telefônica. Ele fala alguns dados da vítima para ganhar confiança dela e conversa de forma bem técnica e educada também com o mesmo objetivo.
O falso atendente avisa que há algum problema com a conta da pessoa e pede para que ela baixe um aplicativo no celular. Após a vítima baixar esse app, que é um programa de acesso remoto, o golpista guia a pessoa até o aplicativo do banco e, quando ela coloca a senha, ele toma o controle do celular, faz transferências, empréstimos, compras e outros tipos de transações.
O trabalho do Idec no caso
Com isso, o Idec decidiu enviar uma notificação ao Nubank no começo do mês de abril deste ano. Com a resposta do banco, o Instituto resolveu partir para uma investigação mais aprofundada acerca do tema. “Fizemos um levantamento para saber como os principais bancos do país agiam em relação ao golpe do acesso remoto e, a partir desses dados, começamos a questioná-los também sobre o tema”, afirma a coordenadora do Programa de Serviços Financeiros do Idec, Ione Amorim.
A nova notificação foi enviada aos três maiores bancos privados do país: Bradesco, Itaú e Santander. As perguntas foram as mesmas enviadas ao Nubank: se eles já tiveram consumidores que sofreram o golpe, qual a atitude que têm tomado para evitá-lo e se estão devolvendo o dinheiro às vítimas.
Um dos bancos respondeu que era possível sim barrar por completo o acesso remoto ao aplicativo dele e isso fez com que o Instituto fosse além e questionasse o motivo de os outros bancos não terem essa tecnologia.
Após mais uma rodada de notificações, os bancos afirmaram que estavam investindo em medidas de seguranças para evitar por completo o golpe do acesso remoto. Com essa última resposta, o Idec decidiu fazer um teste nos aplicativos dos bancos.
Os testes sobre o uso do acesso remoto
O Idec esperou cerca de um mês após a última notificação enviada para iniciar os testes nos aplicativos dos bancos. O objetivo não era ter uma resposta técnica sobre qual era a brecha de segurança, mas saber se qualquer pessoa que não entende de segurança cibernética conseguiria acessar os aplicativos e fazer um PIX por meio de um software de acesso remoto. “Nós fizemos os testes com voluntários que não tinham familiaridade com o programa de acesso remoto. A ideia era essa mesma. Saber se pessoas leigas conseguiriam acessar os aplicativos dos bancos ou se eles barrariam”, confirma o coordenador jurídico do Idec, Christian Printes.
Se um banco barrasse o acesso remoto, para o Idec era um sinal de que todos os outros também deveriam dispor dessa tecnologia. Assim, todos os consumidores teriam a proteção necessária para não ser vítima desse tipo de fraude. E foi isso que aconteceu.
Um dos bancos testados não apenas bloqueou o acesso remoto como também mostrou uma mensagem de suspeita de golpe e o aplicativo ficou sem funcionar por algumas horas. Só abriu após o voluntário deletar o software de acesso remoto do celular dele. “Esse resultado foi considerado paradigmático pela equipe do Idec, ou seja, ele deve ser o modelo utilizado por todos os outros bancos para evitar o golpe”, explica Printes.
Os outros bancos testados não tiveram o mesmo resultado. Foi possível acessar o aplicativo e até realizar a transferência via PIX. O Idec decidiu enviar uma última notificação aos bancos com a descrição dos resultados dos testes.
Reuniões finais e divulgação do relatório
Após o envio dessa última notificação, três bancos responderam e solicitaram reuniões presenciais com o Idec. Um deles enviou um ofício como resposta.
Nas reuniões e no ofício enviado, os bancos mostraram algumas medidas de segurança que estão tomando não apenas para evitar o golpe do acesso remoto, mas também para outros tipos de fraudes. “Ficou claro que os bancos possuem diferentes visões sobre permitir ou bloquear o acesso remoto. Alguns, por exemplo, dizem que permitem o acesso apenas com cadastro prévio, enquanto outros fazem um monitoramento posterior com base na análise do comportamento do consumidor. Todos se comprometeram a aprimorar os mecanismos de segurança”, destaca Ione Amorim.
Para o Idec, essa decisão de não bloquear efetivamente o acesso remoto é um erro. “Por todo o trabalho que o Idec fez, a gente acredita que é essencial o bloqueio efetivo do acesso remoto. Só assim o consumidor fica 100% seguro de não se tornar uma vítima da fraude. Como existe essa tecnologia no mercado, o Idec indica que todos os bancos e instituições financeiras do país utilizem dela para isso”, determina Amorim.
O relatório não apenas traz a conclusão de todo esse trabalho realizado, mas também pode ser utilizado pelas vítimas dos golpes para tentarem reaver o dinheiro perdido com a fraude. “A gente não pode garantir que o uso do relatório vai fazer com que o banco devolva o dinheiro ou que a pessoa vai conseguir vencer a ação na Justiça. Porém, mesmo assim, ele é um instrumento importante para as vítimas utilizarem, já que traz a explicação detalhada de todo o trabalho e de como os bancos devem ser responsabilizados, se decidirem por não bloquear o acesso remoto aos aplicativos deles”, conclui a coordenadora do Programa de Serviços Financeiros do Idec.
O Idec decidiu por preservar os detalhes dos testes realizados para evitar a disseminação de falhas e facilitação de uso indevido do acesso remoto como prática criminosa. Por isso, esses detalhes não estão presentes no relatório divulgado pelo Instituto.
