Por Yanis Stoyannis, Gerente de Consultoria e Inovação de Cybersecurity da Embratel
A forma de trocar informações, interagir, se comunicar com outras pessoas pelo mundo está mudando a passos largos. Smartphones, que incorporam características de computadores com recursos de comunicação e conectividade, estão cada vez mais presentes no cotidiano social, principalmente por incorporar chamadas de voz e vídeo e a troca de mensagens e arquivos num único dispositivo por meio da Internet. A mudança de comportamento fez do WhatsApp, por exemplo, o aplicativo mais popular do mundo há quase um ano, quando ultrapassou o Facebook em número de clientes, atingindo atualmente a marca de 1,6 bilhão de usuários.
A popularização dos smartphones fez com que o mercado da comunicação móvel se tornasse mais acessível. Cerca de 70% da população brasileira, mais de 150 milhões de pessoas, já usam a Internet e o smartphone é o meio mais comum de acesso. Desde o ano passado, já temos mais de um smartphone por habitante. Segundo levantamento recente realizado pela Fundação Getúlio Vargas, são 230 milhões de smartphones ativos no País. O aplicativo mais utilizado é o WhatsApp, com 120 milhões de internautas.
Mais de 90% dos usuários de Internet usam o WhatsApp diariamente, principalmente para troca de mensagens de texto. Instagram, Facebook Messenger e Telegram aparecem em seguida como os aplicativos mais populares de mensageria. Estes aplicativos estão crescendo como canal preferencial de comunicação entre marcas, empresas e consumidores.
Estamos observando um crescimento de mensagens A2P (Application to Person), enviadas por meio de aplicação para uma ou várias pessoas em comparação ao modo tradicional P2P (Person to Person).
O crescimento da popularidade de aplicativos de comunicação tem atraído a atenção de criminosos. Estamos vivenciando uma nova onda de golpes na Internet e o envio de mensagens fraudulentas já virou epidemia.
O celular passou a ser um elemento crucial na rotina das pessoas, não apenas para a função tradicional de comunicação, mas como elemento importante para a execução de processos transacionais. Autenticação para acesso em sistemas, recuperação de senhas e notificações de serviços financeiros são alguns exemplos. A origem do problema é que o acesso destes aplicativos está associado ao número do celular e não diretamente ao aparelho de posse do usuário ou a uma conta de identificação pessoal.
Como o número do celular é atribuído ao chip, o usuário pode alterá-lo ou transferi-lo para qualquer outro. Ele também pode transferir o controle de seus aplicativos para outro aparelho com outro chip e número. A fragilidade destes processos possibilita que golpistas consigam clonar aplicativos e posteriormente gerar ações ilícitas.
Fraudadores podem transferir números de celular de suas vítimas para outros chips se tiverem acesso aos seus dados cadastrais. Informações pessoais das vítimas podem ser coletadas de vários modos. Compra de bases de dados comercializadas por criminosos no mercado negro da Internet (DarkWeb), violações e vazamento de banco de dados de clientes de instituições expostas sem proteção adequada, interceptação de correspondência com dados cadastrais ou uso de engenharia social avançada, que explora o comportamento humano por meio de várias técnicas para convencer usuários a fornecerem suas informações pessoais.
Clonagem via código de ativação
Diversas são as formas de conseguir acessar aplicativos de terceiros. Na clonagem via código de ativação, por exemplo, o fraudador realiza um procedimento legal de transferência da conta do aplicativo da vítima para o aparelho próprio. Este procedimento é comum quando o usuário do aplicativo deseja transferir sua conta para um celular mais novo, que acaba de adquirir.
Após instalar o aplicativo no aparelho e fornecer o número do telefone para o qual deseja fazer a transferência, o APP enviará um código de ativação via SMS para o novo celular registrado. A transferência é concluída após o usuário digitar o código recebido. Este procedimento permite a transferência de contas de aplicativos para qualquer aparelho, mesmo com chips e números diferentes.
Neste caso, o fraudador pode induzir a vítima a fornecer este código para realizar a clonagem do aplicativo. Para ser mais convincente e ludibriar a vítima, o criminoso se passa por representante de alguma instituição ou cliente interessado em fazer alguma transação comercial ou pessoal. Faz uso de artifícios como criar uma conta no aplicativo utilizando o logotipo da empresa ou foto de um representante legal capturada no site da instituição ou em mídias sociais.
Em determinado momento da negociação, o fraudador informa que a vítima receberá uma mensagem via SMS ou pelo aplicativo de seu celular para validação do processo transacional e pede que a vítima informe este código assim que recebê-lo. Neste momento, o fraudador instala o aplicativo em seu próprio aparelho e informa o número do celular da vítima para ativação. O aplicativo de comunicação envia o código de ativação para o celular da vítima e o processo de clonagem da conta será concluído caso ele seja revelado para o fraudador.
Clonagem via acesso Web
Outro tipo de clonagem bastante comum ocorre via acesso Web. alguns aplicativos de comunicação oferecem acesso via Web para quem deseja usar sua conta no seu computador pessoal. No WhatsApp, o usuário precisa acessar uma página Web do aplicativo que exibe um QR Code. Os fraudadores aproveitam deste recurso para fazer uma clonagem por meio de um ataque de engenharia social, conhecido como sequestro de sessão.
Com uma técnica denominada QRL Jacking, o criminoso cria uma página Web falsa com o QR Code do aplicativo. Para ser mais convincente, pode simular que o cliente está participando de uma promoção e que o QR Code vai gerar um cupom para participar do sorteio. Caso a vítima leia este QR Code com seu dispositivo, o código de autenticação gerado é enviado diretamente para o servidor do fraudador, que poderá usá-lo para ter acesso a todas as mensagens da vítima.
Clonagem via aplicativo espião
Na clonagem via aplicativo espião, ocorre a instalação de um aplicativo espião no celular da vítima que captura todas as mensagens SMS e as encaminha para o criminoso. A instalação do APP pode ser feita sem conhecimento do proprietário do aparelho por meio de um técnico de uma assistência técnica em conluio com uma organização criminosa. Também pode ser realizado de forma remota se o dispositivo estiver sem proteção adequada e conectado numa rede WiFi pública ou aberta na qual o técnico tem acesso. Estes aplicativos, uma vez instalados, funcionam em modo escondido. Dificilmente a vítima perceberá que suas mensagens, arquivos e chamadas estão sendo monitoradas remotamente. O fraudador poderá realizar procedimentos de ativação ou esquecimento de senha para que os serviços utilizados pelo cliente enviem os códigos de ativação ou novas senhas via SMS.
Interceptação de mensagens SMS
O fraudador também pode explorar as vulnerabilidades no conjunto de protocolos de comunicação entre redes de telefonia móvel, denominado de SS7 (Sistema de Sinalização no 7) para a interceptação de mensagem SMS. Caso um atacante tenha acesso ao sistema, poderá fazer ações ilícitas, como ler mensagens SMS encaminhadas para celulares. A clonagem segue o mesmo procedimento de ativar o aplicativo em outro aparelho, mas, neste caso, o código de ativação será interceptado pelo fraudador sem nenhuma ação no celular da vítima.
Como reduzir riscos
Diversas ações podem ser realizadas para reduzir o risco de invasão em aplicativos de comunicação. Ao aliar atividades técnicas de fácil execução e mudanças comportamentais, as ameaças são mitigadas e a comunicação das pessoas chegam a um novo patamar de proteção.
Ações técnicas:
– Configurar senha para bloqueio da tela do celular;
– Instalar aplicativos provenientes apenas de lojas oficiais e que tenham histórico de boa reputação;
– Instalar sistema de anti-vírus de boa qualidade;
– Atualizar constantemente o sistema operacional do dispositivo e dos aplicativos;
– Ativar o recurso “confirmação ou verificação em duas etapas” disponível nos aplicativos. Esta função possibilita incluir uma senha adicional para evitar que o criminoso conclua o processo de clonagem;
– Cadastrar um e-mail pessoal para recuperação da senha adicional em caso de esquecimento
– Verificar se o recurso acesso Web está ativo em outro aparelho sem conhecimento do titular. O risco é que o acesso pode ser acionado mesmo que o recurso de dupla verificação esteja ativo. Desabilite todas as sessões ativas desconhecidas.
Ações comportamentais:
– Não clicar em links de mensagens recebidas no celular, pois podem redirecionar para sites com vírus que irão infectar o dispositivo;
– Evitar a conexão do dispositivo em redes Wi-Fi desconhecidas;
– Evitar uso de senha de fácil adivinhação (como “123456” ou “111111”) ou que possam ser obtidas pela Internet (como data de nascimento ou casamento);
– Nunca compartilhar senhas pessoais ou códigos de ativação com familiares, amigos, atendentes de aplicativos, representantes de instituições ou equipes de suporte técnico;
– Confirmar por telefone ou pessoalmente qualquer solicitação emergencial de transferência financeira ou atividade não usual de algum parente ou amigo solicitada via SMS ou mensagem de aplicativo;
– Em caso de perda da conexão do aparelho na rede móvel, entrar em contato imediatamente com a operadora de celular para averiguar se o número foi transferido para outro chip indevidamente. Caso afirmativo, regularizar a situação o mais rápido possível e checar se foi realizada alguma atividade suspeita;
– Desconfiar de mensagens de representantes de empresas que solicitam envio de códigos de SMS ou via aplicativo. Ler a mensagem completa antes que seja encaminhada para alguém, mesmo conhecidos. Alguns aplicativos incluíram uma mensagem de alerta quando enviam o código de ativação solicitando que não o repasse para ninguém, mesmo que declarem representantes dos próprios aplicativos.