Início » Brasil » Criminosos em SP usam chip de celulares furtados para roubar senhas e dinheiro

Criminosos em SP usam chip de celulares furtados para roubar senhas e dinheiro

Polícia de São Paulo revela técnica usada por criminosos para acessar senhas e contas bancárias a partir do chip de celulares furtados

Bruno Ignacio Por

Uma quadrilha de criminosos presa pela polícia paulista no final de 2020 intrigou até os maiores especialistas em segurança de sistema e técnicos forenses ao conseguir invadir contas bancárias de celulares furtados. Um dos criminosos chegou a afirmar que conseguia desbloquear todos os modelos de iPhone. Agora, o esquema foi finalmente revelado e, na realidade, a técnica era muito mais simples do que o esperado, sendo resumida no chip do aparelho.

Quadrilha usa chips de celulares roubados para acessar senhas e contas bancárias das vítimas (Imagem: Darlan Helder/Tecnoblog)

Quadrilha usa chips de celulares furtados para acessar senhas e contas bancárias das vítimas (Imagem: Darlan Helder/Tecnoblog)

Desde o mês passado, uma série de reportagens da Folha de S.Paulo vem revelando o crescimento dos relatos de pessoas que tiveram suas contas bancárias esvaziadas após terem seus celulares furtados, principalmente na capital paulista. Foi somente com a prisão de um grupo criminoso que o enigma foi solucionado.

O delegado Fabiano Barbeiro do Deic (Departamento Estadual de Investigações Criminais), que liderou a operação que prendeu a quadrilha no fim de 2020, explicou à Folha que o grupo de fato conseguia desbloquear todos os iPhones lançados até então, incluindo a série 11. Porém, a técnica era simples: eles removiam o chip do aparelho furtado, colocavam em outro smartphone desbloqueado e buscavam pelas informações de segurança necessárias.

Como os criminosos acessavam contas bancárias

“Eles não tinham nenhum grande esquema de desbloqueio de iPhone”, afirmou Barbeiro. Uma vez que o chip da vítima era colocado em outro aparelho, os criminosos realizavam buscas nas redes sociais para identificar as contas que estavam vinculadas ao número da linha. Em seguida, eles procuravam pelo endereço de e-mail que a vítima usava para backups no iCloud e Google Drive, acessavam o serviço e baixavam os dados no novo celular.

Uma vez com pleno acesso aos backups das vítimas, os criminosos realizavam amplas buscas usando a palavra-chave “senha”, o que geralmente levava às informações de acesso do celular e das contas bancárias.

Com todas os dados necessários em mãos, o chip era devolvido para o aparelho furtados as contas bancárias eram acessadas e esvaziadas. Policiais ouvidos pela Folha também confirmaram que existem técnicas mais complexas que ainda estão sendo estudadas.

Das oito vítimas identificadas pela reportagem da Folha que tiveram celulares furtados e contas bancárias invadidas, sete delas possuíam um iPhone 10 ou 11. A Apple foi procurada, mas não comentou o caso.

Com informações: Folha de S.Paulo.

Comentários da Comunidade

Participe da discussão
20 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Matt (@hadtohear)

Ainda bem que a Samsung tem o Knox assim como a Xiaomi tem o Cloud

Tio Quinzel (@Felipepperoni)

Então, as vítimas deixavam suas senhas salvas na nuvem sem nenhuma proteção adicional. Nem a Apple aplicava uma segunda camada para quando outro celular acessar seus serviços com o mesmo número (vinculado)?

Se for isso que entendi, então qualquer um com iPhone esta vulnerável.

Edilson Junior (@Edilson)

Engraçado que ninguém mais habilita o PIN. Eu tenho senha nele ativada.

@ksio89

Agora me dei conta do risco que é poder recuperar senha do internet banking (IB) por email e SMS, como é o caso de fintechs. Bancões como o BB só permitem a alteração da senha de internet banking já dentro do IB, se não me engano apenas no site, ou então no caixa eletrônico, que requer o cartão da conta ou leitor de digitais para acessar a conta do correntista.

Como não vou comprar outro aparelho pra deixar em casa e só pra usar IB, o que posso fazer é não deixar saldo algum em contas de fintechs, tanto bancos quanto carteiras digitais.

Eu (@Keaton)

Por isso que o pessoal já disse que é uma péssima prática permitir recuperar senhas de coisas com o uso do SMS… pior mesmo é quando tu pega um chip e esse vem com várias cobranças com nome completo do usuário anterior. hahaha

André (@andre00)

Ativa o PIN no seu chip. Se alguém tirar do seu aparelho e colocar em outro, só vai conseguir usar se souber o PIN. 3 tentativas erradas e o chip fica bloqueado.

Felipe Silva (@Felipe_Silva)

Essa coisa de redefinir a senha por SMS de serviços importantes como o email é muito complicado, deveriam pelo menos coloca um delay nisso, se pediu pra redefinir a senha tem de colocar o código enviado por SMS, esperar 6 a 12 horas e colocar um novo código enviado depois dessas horas, assim se alguém pegou o teu telefone/numero tu tem mais tempo de bloquear ele e tomar outras medidas também.

² (@centauro)

Ué, o pessoal habilitava antes?

E eu não sei nos outros aparelhos, mas no da Samsung a opção pra ativar a trava do SIM está enterrada nas configurações.
Configurações → Segurança → Outros → Configurar bloqueio do SIM → Ativar bloqueio

Sim, tem como encontrar usando a busca nas configurações.
As pessoas usam a busca nas configurações?

Tech Nerd 🤓 (@technerd)

Para tentar me proteger tomei as seguintes ações:

Coloquei todos os apps de bancos na pasta oculta (que pede senha adicional) Habilitei senha por digital em todos apps de bancos (pasmem, o Nubank não vem com isso por padrão). Fiz um pente fino no celular e limpei toda e qualquer senha salva tanto no Chrome quanto em notas ou mensagens. Passei todas as verificações por SMS possíveis para o Authy, mas alguns apps infelizmente só tem verificação por mensagem (alô whatsapp, tio Zuck!) Deixei uma nota com o nome “Senhas” onde criei várias senhas falsas tanto de sites quanto de bancos. Criei uma automação usando o macrodroid para bloquear automaticamente a tela quando o celular desconecta da minha smartband, assim mesmo se roubarem com ele com a tela desbloqueada vou ter tempo para tomar providências. Junto com meus cartões de crédito físicos deixei um papel colado com senhas falsas, assim o ladrão bloqueia pra mim. Agora bloqueei o SIM card também.

Sei que isso não impede nada, mas vou dificultar a vida desses vagabundos.

Será que estou sendo muito paranoico?

Thiago Krebs (@Krebs01)

Usem eSim e esse problema já está resolvido. Agora se os bandidos pegarem o celular já desbloqueado, ai lascou.

Acesso a Whatsapp, app de email, no caso do Android, podem baixar qualquer aplicativo pela Play Store desde que seja free, permitindo que eles baixem outro app de email, como o gmail por exemplo e tenham acesso ao seu email principal.

Eu (@Keaton)

Gostei da ideia, vou escrever nos cartões senhas falsas. hahaha

Filipe Espósito (@filipeesposito)

Tem autenticação de dois fatores ao acessar em novo aparelho, mas… se você tem o chip de celular com o número vinculado à conta em mãos, é só escolher receber o código por ligação ou SMS e pronto, você acessa a conta. Isso acontece com vários serviços que não permitem usar 2FA sem habilitar pelo menos recuperação por SMS.

Vítor Gomes Neves Oliveira (@vctgomes)

Mais um motivo pra se usar o eSIM… Esse risco eu n corro…

Vítor Gomes Neves Oliveira (@vctgomes)

Não adianta. Eles tem acesso ao seu número e, consequentemente vão ter acesso à suas senhas e suas contas.

Se eu tenho sua conta e senha, posso acessar seus apps de outro celular. Simples.

Tio Quinzel (@Felipepperoni)

Aqui encontrei com mais detalhes como o processo é feito em um chip sem PIN

The ‘Sin’ Card - MacMagazine

Exibir mais comentários