No mês passado, falamos aqui sobre as ocorrências cada vez mais frequentes — especialmente na cidade de São Paulo — das chamadas quadrilhas “limpa-conta”, que realizam furtos de celulares com um novo objetivo: a invasão de contas bancárias e o roubo de dinheiro das vítimas por meio dos seus aplicativos de banco.
Os casos atingiram tais proporções que o Procon-SP teve que entrar em ação, e a Apple e o Google prometeram facilitar o apagamento de dados dos smartphones para as vítimas dos furtos. Ainda assim, as dúvidas sobre os métodos dos criminosos continuou: como seria possível que os bandidos tivessem acesso tão fácil a smartphones bloqueados, especialmente iPhones, quando até mesmo o FBI já quebrou a cabeça por tantos anos para chegar ao mesmo objetivo?
A coisa toda ganhou contornos ainda mais preocupantes quando, hoje mais cedo, a Folha de S.Paulo publicou uma reportagem que destaca — no título, inclusive — a declaração de um dos criminosos, de que ele e seu grupo seriam capazes de “desbloquear todos os modelos de iPhone, do 5 ao 11″. A declaração foi dada após a prisão de uma das quadrilhas praticantes dos crimes.
Nas últimas horas, o MacMagazine recebeu diversas dicas e dúvidas de leitores em relação à matéria: será que a segurança do iPhone não é aquela Coca-Cola toda prometida pela Apple? Será que as ferramentas de desbloqueio, vendidas por empresas como a Cellebrite (teoricamente) apenas a forças governamentais e policiais, já estaria difundida de tal forma a surgir nas mãos de pequenas quadrilhas dedicadas a roubos individuais?
Bem… não exatamente. Lendo a matéria da Folha, podemos perceber que a principal técnica dos criminosos não envolve o desbloqueio à força bruta dos aparelhos, e sim o emprego de técnicas de engenharia social.
Destaco um trecho abaixo:
De acordo com Barbeiro [Fabiano Barbeiro, delegado responsável pela prisão da quadrilha], para conseguir o desbloqueio dos aparelhos, ele retirava o chip do aparelho furtado e inseria-o em um outro aparelho desbloqueado. Na sequência, passava a fazer pesquisas nas redes sociais (especialmente Facebook e Instagram) para saber qual conta estava vinculado àquele número de linha.
Na sequência, passava a procurar o endereço de email que a vítima utilizava para fazer o backup do conteúdo do aparelho, especialmente em nuvens iCloud e Google Drive, procurado primeiro pelas extensões @gmail.com.
Ao baixar as informações da nuvem no novo aparelho, passa a procurar ali informações ligadas à palavra “senha” e, segundo ele, obtém geralmente os números e acesso do celular e das contas bancárias.
Ao obter essa informação, devolve o chip ao telefone celular da vítima e, com as senhas em mãos, repassa o aparelho para membro da quadrilha responsável pelo acesso às contas e pela transferência de tudo o que conseguir para contas bancárias de laranjas.
Ainda segundo a reportagem, essas técnicas são difundidas no “submundo do crime”: o suspeito que afirmou poder desbloquear qualquer iPhone disse ter aprendido as técnicas na região central de São Paulo, próximo à região da Santa Ifigênia, e que ao menos três pessoas da área dão “aulas” de desbloqueio de smartphones a criminosos.
Além disso, um grupo de nigerianos na região tem “softwares capazes de desbloquear os celulares” num outro método, diferente daquele descrito pelo suspeito. A polícia ainda está investigando possíveis técnicas mais complexas de invasão.
O fato é que, no geral, boa parte das invasões não envolve uma vulnerabilidade no iPhone ou o uso de ferramentas altamente especializadas de desbloqueio — os criminosos simplesmente usam informações que têm à disposição a partir do chip e do dispositivo em mãos.
Por isso, fica de novo o lembrete para que você proteja essas informações o máximo possível — no nosso artigo interior sobre o caso, trouxemos várias dicas de como fortalecer essas proteções, como o uso de senha no SIM card, um código de acesso alfanumérico complexo no iPhone, os recursos do aplicativo Buscar, o bloqueio do IMEI e do aparelho, e muito mais.
Não deem bobeira! 👀