Golpe: problema gravíssimo de segurança envolvendo a operadora Claro, o Instagram e bancos digitais
Um grave problema de segurança está afetando a Claro, o Instagram e bancos digitais, como o Dotz. Esta alegação vem do especialista em segurança Jorge Lordello e de outros clientes da operadora de telefonia com perfil na rede social.
segunda-feira março 7, 2022
Resumidamente, golpistas conseguem obter um novo número telefônico (chip) da Claro em nome de uma pessoa (os criminosos fecham a conta da vítima, ou simplesmente fazem uma portabilidade). Em seguida, eles assumem o perfil no Instagram dessa pessoa e passam a comercializar produtos pela rede social, negociando por meio de Pix cadastrado em uma conta bancária digital criada em nome da mesma vítima.
Relato de Jorge Lordello
O especialista viu a situação com muito horror, devido à fragilidade da segurança cibernética (ou à falta dela) nessa situação em que foi vítima. Na tarde da última quinta-feira (3), após terminar sua gravação no programa Operação de Risco, na Rede TV, Lordello descansou por uma hora e foi até a academia.
No meio do caminho, ele foi fazer uma ligação e percebeu que sua linha de celular estava inoperante. Não só ela como sua internet móvel da operadora Claro também estava inoperante.
Lordello, naquele mesmo momento, foi a uma loja da Claro em um shopping próximo de onde ele se encontrava. No local, a atendente falou para ele que houve uma tentativa de entrada na conta feita por golpistas. Por esse motivo, a operadora resolveu bloqueá-la.
Para resolver isso ali na loja da Claro, seria necessário apresentar um documento pessoal (RG ou CPF), que ele teve que ir buscar em sua residência, voltar para a loja e então poder ter essa questão resolvida. Infelizmente, este era só o começo do problema.
Conta no Instagram invadida
Assim que desbloqueou sua conta na Claro, Lordello começou a receber diversas notificações de pessoas em seu WhatsApp dizendo que seu perfil no Instagram havia sido hackeado. Então, ele tentou entrar em sua conta na rede social e não conseguiu.
Para verificar o que estava acontecendo com essa respectiva conta, Lordello entrou em uma outra conta que possui no Instagram e buscou o primeiro perfil – que teria sido invadido. O especialista em segurança constatou que os criminosos invadiram aquela conta na rede social, alterando as configurações de número de celular e e-mail (dados pessoais que ele possui há dez anos).
Para tentar falar com o Instagram, foi um sacrifício. Lordello afirma que não conseguia falar com a rede social de jeito nenhum (já que seus dados pessoais tinham sido alterados nela). Ele disse que, após uma série de tentativas, uma identificação e uma queixa foram feitas através de vídeo, “eles abrem uma câmera, pedem para você se posicionar, olhando pra cima, pra baixo e pro lado”.
O procedimento, segundo o Instagram, serve para um reconhecimento baseado nas fotos que o usuário possui na rede social.
24 horas… e 6 horas a mais depois
Após essa etapa, Lordello recebeu um e-mail do Instagram, dizendo que a rede social daria uma resposta em 24 horas. Somente 30 horas depois o e-mail apareceu, dizendo que as imagens capturadas no procedimento não eram condizentes com as existentes no perfil (que ainda estava ativo e invadido).
Durante aquelas fatídicas horas, enquanto esperava o e-mail do Instagram, ele entrou em contato com o maior número de pessoas possível, pedindo para elas denunciarem que sua conta havia sido hackeada. Porém, a rede social manteve a conta funcionando… e pior.
Venda de mercadorias e conta aberta em banco digital
Os criminosos que invadiram a conta de Lordello estavam vendendo mercadorias (equipamentos eletrônicos) como se fossem ele, inclusive interagindo com os possíveis compradores.
O especialista frisa bem que esse tipo de interação ele jamais tinha feito na rede social. E mais. Uma conta no banco digital Dotz foi aberta em seu nome, usando seus dados pessoais (nome e CPF).
Com isso, a conta hackeada passava um ar de credibilidade, já que as falsas vendas de produtos eram negociadas a partir de uma chave Pix criada com o CPF do especialista em segurança. Quando o comprador digitava o número do documento (chave Pix) para fazer o pagamento, aparecia o nome de Lordello, o que fazia parecer que tudo estava sendo feito de forma totalmente legítima.
O especialista frisa bem que esse tipo de interação ele jamais tinha feito na rede social. E mais. Uma conta no banco digital Dotz foi aberta em seu nome, usando seus dados pessoais (nome e CPF).
Com isso, a conta hackeada passava um ar de credibilidade, já que as falsas vendas de produtos eram negociadas a partir de uma chave Pix criada com o CPF do especialista em segurança. Quando o comprador digitava o número do documento (chave Pix) para fazer o pagamento, aparecia o nome de Lordello, o que fazia parecer que tudo estava sendo feito de forma totalmente legítima.
Boletins de ocorrência
Daquela quinta-feira até o começo da tarde de sábado (5), foram feitos dois boletins de ocorrência na Polícia Civil – um deles sobre as invasões de sua conta na rede social e de sua linha telefônica/internet e outro sobre a conta aberta no banco Dotz em seu nome.
Após Lordello ter recebido o e-mail do Instagram dizendo que as imagens (do procedimento de reconhecimento) não condiziam com as existentes no perfil, o especialista em segurança enviou um grande e-mail de resposta para a empresa de mídia social, contendo os boletins de ocorrência, além de documentos digitalizados.
Só então ele conseguiu ter acesso à sua conta no Instagram – que mantinha todos os posts com mercadorias sendo vendidas. Foi o próprio Lordello quem teve que deletar todo conteúdo criado pelos golpistas.
Constatações e considerações de Lordello
O especialista em segurança constatou que os criminosos entraram em contato com a Claro solicitando a mudança de chip e conseguiram (após algum procedimento de identificação frágil da operadora). A partir daí, Lordello já não tinha mais contato no chip que possuía em seu celular.
Rapidamente, os criminosos invadiram sua conta no Instagram, alteraram dados cadastrais de e-mail e número de telefone originais do perfil e colocaram novos dados (de e-mail e número de telefone). Com essas informações alteradas, é impossível tentar retomar a conta pelos procedimentos comuns de “Esqueci minha senha”.
Lordello afirma com todas as letras que “é impressionante o quanto a Claro, o Instagram e o banco digital Dotz conseguem ser ludibriados com tanta facilidade”. Chama a atenção outro apontamento feito pelo especialista em segurança.
Insegurança com dados de usuários e clientes
O Instagram, mesmo após receber uma onda de denúncias de que a conta havia sido hackeada, manteve o perfil em atividade. Não houve consideração por parte da rede social que, logo após a troca de dados cadastrais importantes, como e-mail e telefone, começou a receber as denúncias.
O Instagram também “não achou nada estranho” um perfil que nunca realizou venda de produtos começar de repente a vender equipamentos eletrônicos com transação pelo Pix. Além disso, Lordello questiona quais ações o Banco Central toma para proteger a população diante da insegurança que as agências bancárias digitais parecem apresentar.
Grave falha de segurança parece ser muito mais comum do que se imagina
Este grave problema de segurança envolvendo respectivamente a Claro e o Instagram, além de uma instituição bancária (ao que tudo indica, digital), parece ser mais comum do que se imagina. No Twitter, o cardiologista e arritmologista José Alencar descreveu hoje mesmo ter sido vítima de um golpe basicamente idêntico que vitimou Jorge Lordello.
Ponto crucial de segurança
Ao longo da sequência de tweets, Alencar descreve uma forma de manter sua conta segura no Instagram. A primeira dica é, literalmente, sair da Claro Brasil agora, hoje. “Se você não caiu no golpe ainda, cairá mais cedo ou mais tarde”.
Além disso, o cardiologista indica o uso de aplicativos de autenticação em dois fatores, como o Microsoft Authenticator, o LastPass (pago), o Google Authenticator e o Authy. Mas Alencar diz que isso não ajuda na segurança quando o golpista já está com o número de celular da Claro que “ganhou” da operadora.
Eis então que há um ponto crucial que o cardiologista lembra em sua sequência de posts: entre em configurações de novo, e vá em Conta > Informações Pessoais e… apague seu número telefônico dali.
Assim, o e-mail da pessoa passa a ser “a última fortaleza”. Ou seja, é ainda necessário dar mais segurança a ele, criando uma senha efetivamente segura e adicionando proteção em dois fatores para o e-mail também.
Tentamos contato com as assessorias das empresas Claro, Instagram e Dotz para se posicionarem sobre os problemas relatados. Até o momento do fechamento desta matéria, não obtivemos respostas.
Agradecemos a Jorge Lordello, que procurou o Olhar Digital para dar seu relato e por confiar em nosso trabalho. O especialista em segurança também está em contato com uma advogada para buscar providências legais sobre o caso.