Bancos ampliam segurança de apps, mas usuário tem que cuidar melhor da senha; saiba como

Que os criminosos encontraram um jeito de desbloquear celulares furtados para ‘limpar’ a conta bancária das vítimas já sabemos. A questão agora é descobrir como impedir que isso aconteça. A Febraban (federação brasileira de bancos) diz que os apps bancários são seguros. Mas especialistas afirmam que é possível adicionar camadas extras de segurança para dar mais proteção às contas digitais.

O Bmg, que já adotou a biometria facial com liveness (prova de vida), vai apertar ainda mais o cerco aos invasores de conta: vai implantar a biometria comportamental. “A gente já tinha a biometria facial, mas os criminosos começaram a querer fraudar com a foto da vítima. Com o liveness, ele não consegue mais usar a foto, pois o aplicativo pede para a pessoa se afastar, virar para a frente, virar para o lado”, afirma Daniel Freire, head de tecnologia para o canal digital.

O Mercado Pago vai incluir a autenticação facial como segundo fator de validação. O Inter também exige uma prova de vida para cadastrar um novo telefone ou senha. No Bmg, a biometria facial com liveness é utilizada quando o cliente troca de celular, muda de senha ou faz transações de valores elevados.

“Na autenticação, que é verificar se aquela transação está sendo feita pelo dono da conta, a tendência é ampliar as camadas de proteção. O que significa isso? É trabalhar com múltiplos fatores de proteção: não é só a senha, só a biometria ou só responder uma pergunta pessoal”, diz Marcelo Góes, head de produtos e serviços da FIS. “Não pode depender de uma única metodologia, se não você fica exposto.”

O problema é várias dessas confirmações podem ser violadas se o celular estiver na mão dos bandidos, caso do envio de nova senha por e-mail e SMS. “O aparelho está com o bandido, ele mesmo vai lá e confirma. Por isso, vários bancos estão dando um passo a mais e pedindo a prova de vida”, diz Góes.

Em nota, o Itaú informa que “utiliza diferentes fatores de autenticação, entre eles token, senha eletrônica, senha do cartão e biometria facial”. “Importante esclarecer, no entanto, que o chamado ‘golpe do celular’ não acontece por falta de camadas de proteção no app, que é totalmente seguro, mas sim pela disponibilização de senhas e outras informações pessoais pelos usuários no aparelho subtraído pelo fraudador”, afirma a instituição.

A culpa é do usuário então?
Não é exatamente assim. Mas dificultar a vida do bandido que tenta ‘limpar’ a conta do banco depende muito dos cuidados que o usuário tem com suas senhas, tanto da tela de bloqueio do celular quanto das contas bancárias e dos e-mails.

“A primeira camada de segurança é sempre o usuário. Ele que deve proteger a senha, não pode anotá-la nem enviá-la por e-mail ou mensagem para ninguém. A instituição tem outras ferramentas para identificar se a transação é suspeita, caso da pessoa que faz 10 saques seguidos de R$ 1.000 ou em uma localização que não costuma ser a sua”, afirma Góes.

O maior problema das senhas, segundo Fabio Assolini, especialista sênior de segurança da Kaspersky, é que as pessoas têm péssimos hábitos na hora defini-las. “No caso das senhas numéricas, a maioria das pessoas escolhe a data de nascimento, o ano de nascimento, o telefone fixo”, disse.

No caso do iPhone, segundo ele, esses dados são facilmente obtidos por meio do botão de emergência. “Informações de emergência, como telefone de contato, data de nascimento estão todos lá. Uma vez que o bandido acessa essas informações, fica fácil descobrir a senha da pessoa”, diz Assolini.

Freire, do Bmg, diz que os golpes não estão atrelados aos aparelhos X ou Y. “Existe um vazamento brutal de dados na internet. Se o dado da pessoa foi vazado, o bandido tem acesso fácil a informações como data de nascimento, nome da mãe, senhas em sites de e-commerce. Combinado a isso existe o problema da engenharia social  (o bandido liga para a vítima e obtém os dados) e tem também a fragilidade das senhas. O usuário coloca a mesma senha em todos os bancos.”

Mas a autenticação biométrica não é segura?
Sim, a autenticação biométrica é uma das formas mais seguras de validar transações. A questão, segundo Assolini, é que nem sempre ela funciona. “A maioria dos apps de bancos abre por autenticação biométrica, como finger print e reconhecimento facial. Mas às vezes, ela não reconhece o usuário porque ele está de máscara, de óculos, de luva. Quando isso acontece, ele tem a opção de usar uma senha numérica para acessar a conta. E aí voltamos aos péssimos hábitos na hora de escolher a senha.”

Outro péssimo hábito é anotar a senha no bloco de nota. “De nada o app do banco ser o mais seguro que existe se o usuário deixar a senha anotada no bloco de notas”, afirma o especialista.

Um passo à frente
Até mesmo o reconhecimento facial, que costuma ser considerado o método mais seguro de validação, já foi fraudado. “Sabemos de casos em que os bandidos enviaram uma mensagem afirmando que havia um problema no reconhecimento facial e que seria preciso fazer um novo. Dessa forma, conseguiram gravar o rosto da vítima”, conta Assolini, que sabe de mais diversos casos de fraude.

“Essa é a eterna de briga de gato e rato. Na área de segurança, costuma se falar que nenhuma solução será eficiente se não passar pelo crivo Brasil.”

Não adianta bloquear o celular?
Mas e a velha orientação de ligar para a operadora de celular assim que ele foi furtado? Sim, isso preciso continuar sendo feito. Mas Assolini diz que só isso não protege a conta do usuário. “A operadora vai bloquear o número, mas o criminoso vai continuar tendo acesso aos apps do celular, a menos que eles sejam formatados. E essa formatação, a operadora não faz.”

Mas e se o seu celular for um iPhone e eu der um comando para formatá-lo remotamente? “Dependendo da quadrilha, eles não se conectam no 4G, mas em uma rede de wifi e aí eles conseguem bloquear o comando para formatar.”

A recomendação de Assolini é que os donos de smartphones tenham um software antivírus com antirroubo. “O nosso, por exemplo, localiza e bloqueia o celular, tira foto do ladrão pela câmera frontal, apaga os dados do aparelho e dispara um alarme que toca sem parar.”

O que o usuário pode fazer então? Cuide da senha!
A grande dica é dificultar a vida do bandido por meio de senhas cada vez mais seguras. “Se tivéssemos que escolher o fator mais importante de segurança, diria que o procedimento mais recomendado é trocar a senha com frequência e não reaproveitar a senha. Tenha uma senha exclusiva para cada canal. Dificilmente o bandido vai localizar sua senha”, afirma Freire, do Bmg.

Não custa repetir, não use senhas óbvias. “O ladrão só desiste quando encontra muita dificuldade. Se estiver difícil demais de violar o aparelho, ele deixa aquele aparelho de lado e parte para o próximo da pilha”, diz Assolini. “O primeiro passo é não colocar senhas deduzíveis demais.”