Tempos atrás um colega teve seu celular roubado, minutos depois, suas contas foram bancárias invadidas e houveram movimentações não autorizadas, bem como acesso a seus emails e demais informações contidas no aparelho.

Semana passada presenciei um destes roubos, no veículo a minha frente, parados no semáforo no centro de São Paulo.

Passei a pesquisar os métodos usados para conseguir acesso aos smartphones, e muito provavelmente, todos eles são brechas que o usuário deixou (exceto os golpes que a policia civil ainda não identificou, todos os demais usam métodos simples e nada sofisticados para tal).

Vou descrever alguns deles (no Android!) e em seguida o que faço para contornar ou proteger.

#1 SIM Card (Chip) desprotegido!

Todo SIM Card (o tal 'chip da operadora') pode possuir uma senha e caso não seja definida, pode ser colocado em outro aparelho facilmente.

Em outro aparelho é possível solicitar um SMS de recuperação de senha e assim ganhar acesso a contas que no aparelho original o criminoso não conseguiu pois está bloqueado.

Visto que a maioria dos sites (inclusive sua conta de e-mail), manda um código por SMS caso clique em "esqueci a senha".

Colocando senha no SIM Card, caso troque-o de aparelho, será necessário inserir tal senha, caso contrario, será inútil.

Outra opção, mas apenas disponível nos aparelhos mais caros, é usar o e-SIM. Trata-se de um chip virtual configurado no S.O. do smartphone (ao contratar, a operadora de telefonia te envia os dados via QRcode e você pode "instalar" o chip, sem precisar de um chip físico).

#2 Aparelho com senha de desbloqueio / senha administrativa

Obvio né? Alfanuméricos, pin, etc… mas tem que haver um.

#3 SD Card, cartão de memória encriptado

Uma das linhas de investigação aposta em usar fotos do SD card removido do aparelho original para realizar o desbloqueio usando a identificação facial.

Sinceramente, desconfio desta tática, mas não validei se é possível.

Mantenho o reconhecimento facial desabilitado (uso apenas digital e pin). Mas, meu SD card é encriptado.

Os dados do cartão SD podem ser usados para o criminoso tentar alguma engenharia social (algum PDF salvo, conta a pagar, dados de empresa, fotos...)

#4 Ocultar alguns aplicativos estão instalados

Utilizo o NOVA Launcher como UI (launcher), ele permite ocultar Apps que escolho, logo, para abri-los, preciso digitar na barra de busca.

No meu aparelho, além dos apps que possuem algum tipo de transação financeira, também está oculto o gerenciador de senhas.

#5 Senha para abrir algum App

Além da senha do chip (será pedida ao iniciar o aparelho ou colocar o chip em outro), e da senha de desbloqueio do Android, utilizo uma terceira senha, que é solicitada ao abrir alguns apps que escolho.

Obviamente, as 3 são diferentes, porém, as duas últimas podem ser substituídas pela sua digital (fingerprint).

O app que realiza este bloqueio é o Kaspersky (Internet Security), dentre os apps bloqueados por ele, estão o Settings (as configurações do Android) e a Câmera.

Porque a Câmera? Um dos relatos da Policia Civil, o criminoso rouba o celular quando está aberto (num carro usando o GPS ou numa ligação na rua), logo após, ele abre a câmera, o que impede do aparelho bloquear a tela e exigir a senha.

#6 gerenciador de senhas

Em outro relato, os criminosos buscam nos emails e outros apps de anotações rastros de senhas, pois muitos mantém senhas salvas em ferramentas erradas e também usam a mesma senha para tudo.

Você pode assinar algum (anualmente), comprar ou usar algum gratuito.

Por muito tempo usei o Keepass! O arquivo de senha (kdbx) ficava no Dropbox e eu acessava pelo celular, extensão no navegador e no desktop.

Um dos pagos e mais baratos (também conta com versão gratis), custa menos de R$54 ao ano (Bitwarden).

#7 não economize bateria

Aparelhos Samsung possuem o recurso de localizar o smartphone, além de permitir algumas ações remotamente.

Diversos antivírus também possuem esta função, no Kaspersky é chamada de “Anti-Thief” e conta com bloqueio remoto, localização, alarme, apagar os dados do celular remotamente, bloqueio contra desinstalação e bloqueio contra remoção do SIM Card (chip).

Porém, vejo algumas pessoas que tentam economizar tempo de bateria e desabilitam algumas funções como a localização (GPS), dados móveis e outros (como o sync, presente no Samsung). O caso mais absurdo que já presenciei, a pessoa mantinha o aparelho em modo avião quase sempre, desabilitando-o quando precisava usar.

#8 2FA, MFA - outro fator de autenticação

Quase todos os apps permitem o 2FA ou MFA, que se trata se um segundo codigo para poder logar.

Este código é pedido após inserir a senha. Pode ser obtido via SMS, email e quase sempre, através de algum app de autenticação, como o Google Authenticator, Authy, Yubico Authenticator, Microsoft Authenticator e outros…

As ferramentas de gerenciamento de senha, geralmente, possuem seus "Authenticators" também, como forma de unificar as soluções.

Hoje, um fator decisório pessoal para quando eu vou escolher um novo app ou ferramenta é se ele possui suporte ao 2FA.

Github, gitlab, lastpass, bitbucket, discord, paypal, Amazon, Razer, dropbox, Mercado Livre, Linkedin Facebook, Instagram, Ubisoft, Google, Uber… Quase todas as ferramentas e apps que você utiliza no dia-a-dia possuem a opção de ativar o duplo fator de autenticação.

Custos

Kaspersky - menos de R$15 ao ano (assinando 2 anos por R$29,90)

Bitwarden - US$10 ao ano (menos de R$55,00 ao ano)

Nova Launcher Prime - menos de R$30 (compra do app, pagamento uma única vez)

Já ví alguns relatos de pessoas mantendo dois aparelhos, mas acho irracional. O custo dos Apps que mencionei acima (e de seus concorrentes) não muda muito. Em nenhuma simulação passou de R$100 ao ano.

Acho mais válido assinar um seguro para o seu aparelho atual do que ter um segundo smartphone.

Muito provavelmente o valor do seguro + valor da franquia será menor do que 30% de um novo aparelho e o seguro cobrirá outras coisas além do roubo (leia o contrato!).

Ter um segundo aparelho não te isenta do prejuízo, o seguro sim! Mesmo levando em consideração o valor da apólice e de franquia.

Ninguém possui dois carros novos e ambos sem seguro. Assim como seguro do cartão de credito (pago R$5,40 por mês pelo Banco Inter, mas os demais bancos incluem isto na anuidade ou oferecem a parte este serviço).

Conclusão

O criminoso é motivado pela facilidade VS risco e quanto mais difícil ou arriscado, maiores a chance de desistir e ir para outra vítima.

Pense: uma pessoa distraída, com fones de ouvido e olhando para a tela do celular num ponto de ônibus e outra pessoa andando na mesma calçada, com o celular no bolso apenas.

Qual o mais fácil? Em alguns segundos o injusto agressor irá decidir. Caso alguma variável mude (a pessoa no ponto guardar o celular e se levantar pois viu o ônibus), o injusto agressor passará a escanear outra vítima mais fácil e mais rápida.

Neste momento, fecha o semáforo e surge um carro com celular com GPS aberto, colado no painel/para-brisa. Será que possui película anti-vandalismo? Vale a pena arriscar e quebrar o vidro? O vidro está abaixado? Volta novamente o dilema da facilidade vs risco.

• Vamos simular uma situação:

Diante grave ameaça, sou obrigado a entregar meu aparelho.

1. O criminoso solicita o código de desbloqueio, eu forneço, ele testa, dá certo e foge. Os apps "sensíveis" estão ocultos.

2. Ele pode digitar o nome de todos os apps de banco existente, ao achar o que possuo instalado, o código de desbloqueio não é o mesmo para abrir os Apps.

3. Tentará abrir as configurações do Android, PlayStore ou o antivírus para remover o código de bloqueio dos apps, mas sem sucesso, pois eles também estão bloqueados.

4. Se remover o chip (SIM Card), o celular é bloqueado pelo antivírus.

5. O SIM Card em outro aparelho vai pedir a senha (que é diferente da senha de desbloqueio).

6. O cartão de memória (SD card) está encriptado, sem acesso a nada.

Viu? Criei barreiras...

É mais fácil ele fazer a formatação de fabrica e levar o aparelho para o mercado paralelo do que insistir em ter acesso a alguma conta, sendo que ele terá outros aparelhos em mãos para tentar.

No Estado de São Paulo, são 15 aparelhos celulares roubados POR HORA!

Não há motivos para o criminoso insistir no acesso ao meu aparelho. Haverá outros, de outras vítimas, que certamente ele terá acesso fácil.

Pela investigação da Policia Civil de SP, o criminoso logo após o roubo/furto irá habilitar o modo avião (ou desligar o aparelho), em nossa simulação, ele já pula para o passo nº 6.

Com o Chip em outro aparelho, ele recupera o login do iCloud ou Google (por este motivo os Iphones são alvos preferidos) e após acessar, eles buscam senhas salvas no e-mail, anotações e etc…

Para a maioria das quadrilhas atuantes no centro da capital de São Paulo, o fato de ter senha no SIM Card e armazenar TODAS suas senhas corretamente, num gerenciador, já inutiliza a tática.

Enquanto ele tentará suas alternativas para invadir, eu irei através de um desktop: Registrar o B.O. online para ter garantias legais no caso do criminoso obter sucesso a partir da data/hora do registro eletrônico do fato ocorrido. Informando também o IMEI para o bloqueio do aparelho (mas este bloqueio não é tão funcional, é burlável).

Possivelmente (ou não) usarei a ferramenta para localizar o aparelho, mas com o B.O. e seguro no aparelho, não me interessa a localização.

1. Enviar o comando remoto para limpar o celular (feature dos antivírus)

2. Realizar o bloqueio de contas financeiras

3. Forçar o logoff de alguns aplicativos (alguns apps, trocar a senha não adianta! Por exemplo os apps de streaming, ao trocar a senha, eles continuam logados nos dispositivos).

Com as dicas acima estará 100% seguro?

NÃO NUNCA!

E nem entramos em outros assuntos como roubo de informações usando uma rede Wi-fi invadida ou interceptada, o que cairia em soluções como o uso de VPN em locais desconhecidos, DNS fixo e encriptado, etc… Engenharia social, entre outras….

Neste texto, abordei somente o básico e que muitos nunca nem pensaram!

Capaz que atualize esta lista num futuro próximo, a tecnologia evolui na mesma velocidade para ambos os lados da força.

E você, o que faz para se proteger nestes casos? Já adota alguma destas dicas? Possui outras?

.

.

.

.

.

.

Você está com a barra de especial cheia e pressionou ao mesmo tempo A + B + Y + X, com isto liberou a última dica plus++ secreta:

Nunca reaja… sem saber reagir!

E para saber reagir não será o jiu-jitsu, karatê, kung fu, boxe, muay thai ou qualquer outro que irá te preparar, só terá consciência de saber reagir (ou não) com KravMaga.

Procure algum lugar próximo de você que ofereça treinamento de defesa pessoal, veja uma aula, e pratique. Na rua não tem regras e um lutador de qualquer arte marcial está condicionado a obedecer regras, está condicionado a nunca golpear em áreas vitais do oponente e por fim, está condicionado a lutar com o oponente somente a sua frente, ambos começam a luta ao mesmo tempo, sem surpresa, sem mais oponentes ao redor, sem objeto "ofensor" nas mãos, ambos esperam o inicio do combate, sempre esperando o respeito mutuo e "fair play".

Nada disto ocorre nas ruas, não há preparo psicológico em nenhum deles para tal situação, mas infelizmente há um excesso de confiança falso pois treinou em ambiente controlado dentro das paredes de uma academia. Certamente, será desastroso.

Onde treinar KravMaga? KMGRU: kmgru.com.br

Caso não esteja próximo dos centros KMGRU, busque algum lugar filiado a Federação SulAmericana: kravmaga.com.br

Links sobre o modo de invasão de celulares dos criminosos:

www1.folha.uol.com.br/amp/cotidiano/2021/07..

www1.folha.uol.com.br/amp/cotidiano/2021/07..

uol.com.br/tilt/noticias/redacao/2021/06/28..

Não consegue ler as noticias dos links acima? Instale a extensão burles.co e pule o paywall.

Kaspersky Internet Security: kaspersky.com.br/android-security

Nova launcher Prime: play.google.com/store/apps/details?id=com.t..

Bitwarden: play.google.com/store/apps/details?id=com.x..