Início » Telecom » Fraude mira em lojas de operadora para roubar linhas de celular

Fraude mira em lojas de operadora para roubar linhas de celular

Linhas são resgatadas indevidamente em novo chip, possibilitando recuperação de senhas por SMS

Por
29 semanas atrás
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Você já parou para pensar como seu número de celular é valioso? Não pelo número em si, mas por tudo que está atrelado a ele: é como outras pessoas entram em contato com você; é para ele que seu banco manda mensagens; e é por ele que você recupera senhas esquecidas e mensagens de autenticação de dois passos.

Parece seguro porque apenas você tem acesso ao seu número, certo? Nem sempre é assim. O Tecnoblog descobriu alguns casos de fraude envolvendo linhas de celular; em um deles, alguém se passou indevidamente pelo titular e resgatou o número em um novo chip.

O roubo

Na noite de quarta-feira (29), Alberto Lage, assessor na prefeitura de Belo Horizonte, percebeu que o celular ficou sem serviço. Poderia ser um problema na antena da região, mas seus familiares são clientes da mesma operadora e o sinal pegava normalmente. Também poderia ser algo específico para sua linha, hipótese que logo foi descartada: pouco tempo após o ocorrido, chegou a notificação de que a senha de seu e-mail havia sido alterada; e a conta, acessada por outra pessoa.

O login realizado no Gmail após o reset de senha

“Imediatamente pensei que seria alguém tentando coletar informações confidenciais sobre meu trabalho. Duas contas de e-mail foram simplesmente violadas, que contêm conversas desde quando o Gmail passou a existir”, conta Alberto ao Tecnoblog. Após sucessivas buscas para ver quais serviços foram comprometidos, ele percebeu que o iCloud foi invadido, e que um iPhone roubado pouco tempo atrás tinha saído do Modo Perdido e liberado para novo registro.

Explico: é possível bloquear um iPhone após perda ou roubo através da plataforma iCloud. O usuário faz login no iCloud.com e consegue visualizar a localização de seus iDevices no mapa. Se o aparelho for desligado, a localização atual não aparece no mapa; mas assim que o dispositivo se conecta à internet, o bloqueio é feito de forma imediata. A única forma de conseguir usar o celular é desbloqueando pelo próprio iCloud, sendo necessário o login e senha do proprietário original.

Antes de tudo isso acontecer, Alberto já havia recebido de dezenas de mensagens tentando realizar engenharia social para coletar credenciais do Apple ID. São enviadas SMSs para o número registrado no chip do aparelho roubado contendo links de páginas falsa do iCloud, normalmente idênticas e com links parecidos para confundir a vítima. Em vários casos, o remetente é um número especial com quatro a seis dígitos, comumente utilizados por serviços oficiais como bancos, operadoras e inclusive a própria Apple, para dar um tom de legitimidade.

Algumas das mensagens que tentam enganar uma vítima que teve iPhone roubado

A linha de celular de Alberto está no nome da mãe dele, Maria Paula. Ela se dirigiu à loja própria da operadora no DiamondMall, em Belo Horizonte, e a atendente não manifestou nenhuma surpresa, contou que esse tipo de fraude é “comum”, e que “fazem bastante para acessar dados bancários”. Na loja, Maria Paula foi informada de que o resgate de chip foi feito no dia 29 de fevereiro, às 19h22, na loja credenciada Meios e Metas. Para reaver acesso à linha, ainda foi necessário pagar uma taxa de R$ 12 para habilitar um novo chip.

Segundo a atendente da loja, fraudes em contratações da Vivo não são incomuns — e não necessariamente envolvem iPhones. A cirurgiã-dentista Sarah Marina teve dificuldades com a operadora após uma troca de chip na credenciada Commcenter do BH Shopping. “A vendedora da credenciada disse que iria fazer algumas adequações no meu plano e assim iria pagar mais barato. Achei ótimo. Cerca de quinze dias depois, recebi uma mensagem informando que meu pacote de internet havia sido esgotado, algo que nunca tinha acontecido antes”, relata.

A surpresa veio quando ela verificou o site da operadora e viu os dados da conta. “Havia outra linha que eu não conhecia no meu nome, e meu celular foi considerado dependente de um plano família que nunca tive. Tive que me deslocar até uma loja da Vivo para poder resolver tudo isso, e fui informada que a ativação dessa nova linha ocorreu cerca de três dias após a minha visita na loja, com tentativa de comprar aparelho no meu nome”, explica Sarah.

Em ambos os casos aqui citados, a fraude não foi feita em uma loja própria da Vivo, e sim através de agentes autorizados. E é importante notar que uma situação como essas pode acontecer em qualquer operadora: basta um funcionário mal-intencionado com acesso aos sistemas para obter acesso indevido a uma linha.

Outro lado

Com base nos relatos, o Tecnoblog procurou a Vivo para saber como isso foi acontecer, visto que resgatar a linha em um novo chip exige atendimento presencial com documento de identificação e CPF. Também questionamos como ela iria se posicionar sobre essa fraude, e o que seria feito para evitar episódios similares no futuro.

A operadora enviou a seguinte nota:

A Vivo informa que revisa constantemente as suas políticas e procedimentos de segurança na busca permanente pelos mais altos controles nos acessos às informações dos seus clientes. O caso mencionado pela reportagem foi pontual e já está regularizado. A empresa trata com o rigor da lei quaisquer possíveis desvios, seja de seus colaboradores ou de terceiros.

Alberto reagiu ao posicionamento da operadora: “Não tem nada regularizado. Eu não sei quais dos meus dados foram comprometidos totalmente. Não dá pra saber se foi só iCloud ou se também salvaram meus dados do Gmail. E houve uma fraude com um contrato, oras.” Mesmo após esse questionamento, a Vivo manteve a nota enviada e disse que a linha do cliente está funcionando.

O Tecnoblog também tentou contato com a loja credenciada Meios e Metas, mas não obteve resposta até a publicação deste texto.

Embora a situação pareça se resumir a um desbloqueio de celular roubado, é possível imaginar o estrago que a posse indevida de linha telefônica pode causar. Costuma-se registrar dados bancários (incluindo token para operações!), mensagens de autenticação de dois passos de redes sociais e até mesmo contratações de serviços que podem gerar ônus à vítima.

É triste que situações como essas possam acontecer, principalmente porque é recomendável ter autenticação de dois passos como camada extra de segurança. Enquanto as operadoras não criarem algum instrumento de autenticação contra fraudes indevidas, não estaremos 100% protegidos.

Leia também: Como o iCloud ajudou um leitor a recuperar um iPod touch roubado

  • Marsupial radical

    Foda isso. Sempre acreditei que, pelo menos a parte pelo celular era seguro.

    Uma pergunta, como esse pessoal consegue enviar esses phishing, usando esses números especiais de 4, 6 dígitos?

    • Henrique Queirós

      sempre quis entender como faziam isso.

    • PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

      contrata serviço de envio de sms ué

      • Jefferson Rodrigues

        Mas deve ser fácil, pois esse serviço não é para pessoa física.

        • PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

          tem serviços internacionais tb, você pode contratar pacotes fácil na internet…

          • Jefferson Rodrigues

            Como se chama esse tipo de serviço?

          • PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

            Envio de SMS

    • felipecn

      Deve ter alguma forma ainda mais fácil (talvez até usando ele), mas o https://www.twilio.com manda SMSs de 5 dígitos.

    • Felipe Marques

      É só contratar uma empresa de envio de SMS (a Zenvia, por exemplo). Utilizei ela para o meu TCC na época da faculdade.

  • Henrique Queirós

    “Alberto reagiu ao posicionamento da operadora: “Não tem nada regularizado. Eu não sei quais dos meus dados foram comprometidos totalmente. Não dá pra saber se foi só iCloud ou se também salvaram meus dados do Gmail. E houve uma fraude com um contrato, oras.” Mesmo após esse questionamento, a Vivo manteve a nota enviada e disse que “a linha do cliente está funcionando“

    isso já da espaço para um bom processo.

    • Felipe Silva

      Infelizmente as indenizações que a operadora pagaria seriam pouco para motivar ela a ter uma politica de segurança mais rígida, a justiça alega que a pessoa quer se beneficiar da situação.

      • Jefferson Rodrigues

        Só juízes escrotos pensam assim. Quando eu movi uma ação judicial contra a Sky, me foi informado que eu não iria receber um valor alto, porque o órgão decidiu estabelecer um limite por conta que as pessoas só estavam entrando com ação judicial para ganhar dinheiro. Achei um absurdo!!! Se alguém entra com ação e ganha, é porque a empresa está errada. Temos um judiciário podre!

        • Ligeiro

          Via de fato, sim existe muitas pessoas que entram com ação mais pelo dinheiro do que pela punição. Parte do judiciário podre é culpa da própria população.

          • Jefferson Rodrigues

            Mas isso não é algo que a justiça tem de se preocupar. Se a pessoa vai pelo dinheiro, ela só vai ganhá-lo se a empresa tiver cometido um erro. Estipular um limite (principalmente usando esse argumento) é estimular a impunidade, permitir que a empresa continue cometendo delitos/crimes. Acho essa decisão errada!

          • Ligeiro

            Não é bem assim. As leis brasileiras demoram para se ajustarem pois dependem de aprovação de quem as fazem – que são os legisladores, nada mais que deputados e senadores. Juízes só executam leis, não fazem leis.

            As leis que tanto protegem os consumidores também acabam induzindo a “ganhos pela lei”. Senão hoje não teria essa profusão de advogados por aí e toda a conversa sobre terceirização (para você ver onde está parte do problema – na criação de leis).

            Como a lei do consumidor tem brechas que muitos consumidores usam para justamente “ganhar em cima”, acaba criando estas bizarrices.

          • Vinicius Alves Gomes

            Qual a brecha chefe, serviço mau prestado gera indenização por danos morais, isso desde CF, CC e por CDC… A brecha que existe, é sim um judiciário empenhado em proteger as grandes empresas. Caso adota-se o entendimento de outro países o nº de ações despencariam para menos da metade, indenização troco de pinga = serviço mau prestado.

          • Ligeiro

            A questão do reembolso e da premissa que o “cliente tem razão”. Se o judiciário protegesse as grandes empresas, por exemplo, a AES Eletropaulo não seria obrigada a ressarcir em caso de raios na rede elétrica. Ou que a devolução de produtos fosse feita com analise do mesmo antes do reembolso (geralmente não é feito).

            Serviço mau prestado é o que mais tem por aí (principalmente por gente de TI, sério). O problema é esta de “o outro sempre vai querer dar rasteira na gente.

          • Vinicius Alves Gomes

            Cade a brecha que vc falou? Onde na CF, CC ou CDC, fala que cliente tem razão? Que lei obriga as concessionarias a dar reembolso? Esse curto não podeira passar para casas! Já teve até caso de morte, devido aos curtos por raio na rede elétrica. As concessionarias tem como evitar, mas como é mais barato pagar a indenização de 2000 reais, pra que arrumar o sistema, investir em melhorias na casa dos milhões pra que? Pagar a indenização que é mais barato!

          • Ligeiro

            Para evitar curtos existem exigências técnicas – nas quais muitas casas nem cumprem os requisitos. Isolamento elétrico, disjuntores atualizados, aterramento, fiação em acordo com as normas de segurança.

            Não é barato pagar indenização – de 2000 em 2000 vai milhões. Os mesmos milhões que poderiam ir para mais melhorias de infra ou até implantação de sistema subterrâneo.

          • Vinicius Alves Gomes

            Realmente vc defende as empresas. Ela pode se defender é só elas querem, o que acontece pra quem já processou elas, defesa risível, genérica, não contradiz o que os autores alegam, desconsiderações de resoluções criadas por elas mesmo, descumprimento de contrato. Um Ex. a ANS, tem um rol de cobertura MINIMA, pros planos de saúde, para não pagar advogados, as operadoras copiam e colam nos contratos dos clientes… adivinha o que acontece? Levam intubada por não fazerem um contrato explicitando o que não cobrem, mas não preferem alegar que o rol da ANS é taxativo, quando o enunciado dele, declara que ele é rol minimo… Indefensável, corte de custa preguiçoso, facil sanar, por que não o fazem? Sairia caro arrumar um jurídico, sai mais barato pagar a indenização. Só pra citar a TIM, VIVO, de lucro na casa dos bilhões. Estou lendo muita ladainha e poucos provas do alegado… cade as brechas legais? só vejo noticia falando que as empresas não investem em infraestrutura? Ou o judiciário abaixando as indenizações para o minimo possível, no meu estado (PR) já chegou ao ponto de indenização pelo juizado não pagar nem a tabela da OAB.

          • Ligeiro

            Eu defendo o que tem quer justo. As empresas e os governos são ecos das relações sociais em um lugar. Se o país tem um monte de gente egoista, as empresas e os governos serão egoistas.

            E estou lendo muita ladainha da sua parte também.

          • Vinicius Alves Gomes

            Qual ladainha, estou afirmando cumpra-se a Lei. Agora e as empresas e os juizes dão uma banana pra ela… Já citei aqui a CF, CC e CDC.. cade a ladainha? Já citei a justiça do meu estado com exemplo, ladainha? Não fiquei na retorica que igual a vc, que só fica “coitada das empresas, são egoísta pois todos nos somos, O que será delas se os juizes não a defenderem empresas que ganham mais de 20 bilhões por ano…

          • Ligeiro

            Falou o cara da retórica “coitada da população, sofre na mão das empresas”… :

    • Minion

      Tinha um número da Tim e roubaram meu telefone, fui na loja da operadora no outro dia e simplesmente me disse que meu número não existia, falou que era da Oi, que nunca fiz migração, fui na Oi e não constava, resumindo perdi um número com mais de 10 anos e diversos serviços de confirmação em 2 passos, nunca mais usei esse tipo de confirmação, o FB (graças a Jah) nunca consegui recuperar.

      • Henrique Queirós

        Confirmação em dois passos tem esse risco mesmo, fico temeroso por isso. Eu preferia receber por e-mail a segunda senha

  • Erica Renesto

    Infelizmente esse não foi o primeiro e nem será o ultimo caso, a empresa onde trabalho tem um pacote empresarial da VIVO e a cerca de 1 mês liguei para a operadora devido problemas de login no MEU VIVO, onde aparentemente um dos dados estaria incorreto o que deveria ser impossível, afinal para qualquer mudança é necessário a aprovação de um dos sócios da empresa. Nesse contato foi-me informado que a linha gestora havia sido alterada para um numero desconhecido, sem a aprovação da sociedade da empresa, e quem me atendeu não soube explicar quando ou quem fez essa alteração, demonstrando essa falta de segurança.

    • Numa dessas arrolam a empresa como laranja ou parte de esquema criminoso… A empresa honesta tem uma trabalho homérico só para provar que não tem nada a ver com a história… Desrespeito total.

  • Trovalds

    O negócio é: vai resolver problema com a operadora? Loja própria OU pelo atendimento telefônico.

    Essas “autorizadas” nunca confiei principalmente depois que fui em uma pra resolver um problema e o atendente começou a pedir dados pessoais que deveriam constar do meu cadastro. “É pra confirmação, senhor.” Só que quando eu pedi que ele ditasse o número do meu CPF pra eu confirmar se era ou não o meu, o atendente começou a gaguejar, levantou e falou que ia conversar com o “líder” da loja. Eu levantei, fui embora na mesma hora e corri direto a uma loja da VIVO. Informei o ocorrido e o atendente informou imediatamente à central. A única coisa que sei é que a tal autorizada fechou dias depois desse incidente. Pelo menos não tive nenhum comprometimento em nada que tivesse relacionado à minha linha telefônica.

    Novamente: se precisar resolver um problema com linha telefônica, LOJA DA VIVO, nada de autorizada. Aliás isso vale pra qualquer operadora.

    • Maria Paula

      Sou a dona da linha e só uso lojas próprias da Vivo para resolver problemas, quem usou o serviço da credenciada foi o ladrão. Como se trata de estelionato, espero que não apenas fechem a credenciada, como também prendam o responsável.

      • Jefferson Rodrigues

        Denunciou isso a Anatel?

    • Ligeiro

      O número de lojas da Vivo oficiais ficaram reduzidas no último tempo. Infelizmente só tem sobrado autorizadas e especializadas em celular.

      Quero fazer a readequação do meu plano (tou pagando caro por ADSL : ) e não tem loja na minha cidade e nem nos arredores :

  • Felipe Silva

    Se tivessem de pagar uma indenização de no minimo 1 milhão de reais, tenho certeza que a operadora dava um jeito de isso não acontecer mais.

    • eles tem multas e indenizações bem maiores que esse valor e não pagam… rolam dívida e fica por isso.

  • betacaroteno

    Como sempre, a operadora lava as mãos.

  • Luiz Claudio Eudes Corrêa

    Ainda bem que tenho 2FA nas minhas contas de email, mas as operadoras não oferecerem nenhuma segurança pro cliente, basta ligar sabendo o nome, CPF/identidade e endereço que qualquer pessoa se passa por você.

    • Jefferson Rodrigues

      Não é só operadora de telefonia, de cartão também. Eu já me passei pelo meu pai para resolver um problema com o cartão de crédito da Caixa pra ele.

      • Luiz Claudio Eudes Corrêa

        Quem nunca?

      • Luiz Claudio Eudes Corrêa

        No meu antigo trabalho o RH vivia me chamando pra resolver problemas do chefe via telefone (eu era o único homem, me passava por ele toda semana pra ligar pra Vivo/Oi/etc).

        • Jefferson Rodrigues

          Me parece que isso é considerado crime.

    • Gedson Junior

      Cara, o problema é que as pessoas não gostam de ficar respondendo perguntas pra confirmação, o brasileiro médio só se preocupa com segurança quando dá merda. Onde trabalho os clientes reclamam muito quando são feitas perguntas que somente o responsável saberia.

      • Luiz Claudio Eudes Corrêa

        No caixa eletrônico do BB é assim, quando vai usar nem pergunta senha, vai direto nos dados cadastrais

  • Ramon Gonzalez

    Sei que a Anatel se comporta mais como uma “associação de operadoras de telefonia” do que uma agência reguladora, mas não seria interessante nesse caso acioná-la?

  • Ramon Gonzalez

    Estamos largados nas mãos desses incompetentes!! Imagine quantos “casos pontuais” como esse não devem existir?! Absurdo completo! Eu diria até que neste caso tanto a Vivo quanto a loja credenciada poderiam ser acionadas judicialmente, já que todos os danos (acesso a contas diversas, inclusive de email) decorreram da fraude inicial. Não sou da área jurídica, mas imagino que seja cabível de ação judicial.

  • Isaias Freitas

    Outro dia recebi no meu email, falando sobre alteraçoes na minha conta icloud, sendo que nunca tive nada da apple e nem quero ter. So ignorei.

  • Veritas

    Operadoras de telefonia no Brasil?

    KKKKKKKKKKKKKKKKKKKKk
    O cara tá ralado.
    É uma pior que a outra!

  • Trabalhei anos em operadoras, e na maioria das vezes,dependendo da Fraude,principalmente na ativação de linhas,os próprios funcionários são os responsáveis.uma dica: é possível pedir a operadora que ela coloque um pin para o atendimento. n confundam com o pin do chip.