Invasões de conta através da troca de email: como se prevenir?

O golpe

Recentemente surgiram alguns relatos de invasão de contas do Nubank através do fluxo de troca de email. Segundo os relatos, funciona assim: o golpista, com seu CPF, diz não lembrar de senha ou email e, usando imagens falsas ou fraudadas, ele engana o sistema de reconhecimento facial (ou humano, enfim, nunca se sabe) e consegue trocar o email de cadastro.

Com o email, a conta agora é do golpista. Ele pode trocar a senha e, com a foto, autorizar o dispositivo dele.

Falsa sensação de segurança

A última camada de “segurança” seria a senha de quatro dígitos do cartão físico. Essa última é delicada, pois ela passa uma falsa sensação de segurança. Como ela é usada pra autenticar qualquer transação no aplicativo, imagina-se que ela só esteja na sua cabeça, mas ela fica disponível para conferência no aplicativo, e o golpista sabe disso.

Como se proteger

Não parece ser possível.

O que o Nubank deveria fazer

Abolir a troca de email através do reconhecimento facial. Isso só vai acontecer quando os clientes demonstrarem insatisfação em massa, porque provavelmente na prática o atual sistema deve ser efetivo e barato.

Autenticação em duas etapas com OTP, chave de segurança física e códigos de backup também não seriam má ideia. De qualquer forma, a atual autenticação em duas etapas com o email é suficiente, desde que um golpista não consiga alterá-lo.

Uma boa forma de se proteger é estar atento aos e-mails/mensagens do Nubank, pois o Nubank sempre avisa quando algum dado relevante ou e-mail é alterado te dando a chance de reverter, caso quem alterou, não tenha sido você.

Screenshot_20220122-090812_1612×1632 84 KB

Concordo plenamente.

É uma forma, mas não concordo que seja boa não. É uma medida de segurança passiva, não depende de sua ação pra impedir acontecer, mas pra remediar. Mas de qualquer forma é uma forma.

Quando um cliente perde o acesso a sua conta de e-mail, qual seria a alternativa? Pois esses casos acontecem.

Perda de acesso ao email e também perda senha do Nubank, certo? É uma preocupação válida. Pessoal da empresa vai ter que se preocupar com isso quando (e se) foram fazer a abolição desse fluxo de troca de email.

Na minha opinião, se a pessoa perde acesso ao email de cadastro e também perde a senha do Nubank, ela deveria ter que passar por um processo muito rigoroso (e consequentemente burocrático) de verificação de identidade, pois o email é a forma de verificação de identidade padrão na internet. Possibilidades seriam algo como tempo maior de verificação (dois, três dias úteis), verificação do telefone de cadastro, possibilidade de uso de emails de recuperação e se precisar até uma demonstração de posse do cartão físico e da senha.

Tipo, se você for num Santander da vida e der pau nos aplicativos todos, eles vão exigir que você vá num caixa eletrônico (usar a biometria que foi cadastrada na agência ou a senha do cartão) ou na agência física (apresentando documento oficial), porque essa é a única forma do Santander verificar sua identidade. No caso de empresas que dependem única e exclusivamente da internet, como o Nubank, elas precisam confiar em alguma forma de identificação, como o telefone celular (algumas redes sociais e mensageiros) ou o email (quase todo o resto).

Ontem fiz um teste sobre a função de trocar e-mail pela selfie para ver como funcionava, coloquei um email reserva que tenho, apareceu uma mensagem dizendo que até 2 dias úteis enviariam uma mensagem para o novo email para eu trocar, mas até que foi rápido, foi em 7 horas para aprovar a foto e trocar o email. Aí depois voltei ao email principal que uso.

É exatamente o que penso, @lucasresck.

Esse problema é complicado. Não sei como resolver.

Se isso acontece o Nubank é responsável por qualquer ação que ocorrer em seguida, qualquer processo judicial que o cliente comprovar a falha nesse mecanismo, facilmente consegue reverter a responsabilidade para o Nubank.

Interessante, fiz esse teste também de madrugada, antes de acordar já havia conseguido o acesso. Realmente, se o time de segurança simplesmente colocasse o prazo cravado em dois dias úteis já amenizava o problema em larga escala, pois daria tempo de correr atrás. Porém, tem mais um problema.

Não sei se você percebeu, mas a única mensagem que recebi na minha conta de email original, além do link pra redefinição de senha, foi a informação de que o email já havia sido alterado! Em um golpe, você não fica sabendo que estão tentando trocar o email, só quando essa troca efetivamente acontece. Isso inviabiliza a prática de que ficar atento aos emails como uma forma de proteção:

Inclusive, foi o que aconteceu com aquela moça do LinkedIn, segundo seu próprio relato:

O pior é que no Brasil vazamento de dados não é levado a sério. No vazamento recente do Serasa, por exemplo, vazaram fotos de documentos dos clientes. Se você já mandou uma foto segurando o RG pra eles, nesse momento ela está no computador de alguém mal intencionado. Dados pessoais são encontrados em uma pesquisa no Google. Como provar que você é você?

No fundo não é culpa do Nubank. Esse processo é quase impossível de ser realizado com segurança sem que seja um processo burocrático.

No futuro será ainda pior. Machine learning, deepfakes, etc

Verdade, já notei isso, só notifica depois que ocorre a alteração mesmo, é uma ótima ideia sua sugestão de notificar o e-mail antigo sobre o início do processo de troca de e-mail através da selfie. Uma coisa que já sugeri aqui na comunidade também é a função de troca de email/telefone dentro do aplicativo, protegida pela senha de acesso (igual ocorre na consulta á senha de 4 dígitos). Notei que ao trocar e-mail/telefone dentro do aplicativo, a função não é protegida pela senha de acesso, você simplesmente clica na função e já pode mudar.

Esse problema do vazamento de dados no país é seríssimo. O negócio é tão surreal que na verdade o fato de todo mundo ter os dados públicos faz com que você se sinta até seguro hehe

E não estamos falando de dados vazados por empresas e serviços suspeitos ou pessoas que sofreram golpes de engenharia social. Estamos falando de dados massivos vazados de empresas bem consolidadas e órgãos governamentais. Não tem o que fazer pra evitar ser uma vítima, só sorte.

Olha, eu sou do time email. Se você pega um Gmail por exemplo e fecha ele com uma chave física (acessando em máquinas seguras), não tem engenharia social, não tem phishing, não tem vazamento de dados que te afete. Por isso eu acho tão absurda essa troca de email com foto do rosto.

Mas os caras tão facilitando demais pros golpistas, não precisava nem ser tão fácil.

Ainda assim da para se proteger.
Quando a moça lá recebeu o primeiro aviso, ela deveria ter agido e respondido,
instantáneamente, mas em vez disso, ela resolveu ignorar, aí 3 minutos depois, “segundo ela”, foi que o inferno começou.
E foi exatamente por conta desse relato, que eu mesmo resolvi testar se seria avisado e em quanto tempo, caso meu e-mail fosse trocado e adivinha? Recebi o aviso instantáneamente, se não fosse eu, era só negar e pronto. Mesmo sendo uma forma passiva se proteção, ela não deixa de ser eficaz se a pessoa der a devida atenção, em vez de ignorar o aviso.
Enfim, acho que isso que eu escrevi aqui:

…deveria dizer alguma coisa pra você, mas acho que não disse e se disse, você resolveu ignorar, pois se apegou apenas ao que lhe conveio falar e não ao todo do que escrevi.

Realmente, é verdade que o email de troca de senha do Nubank pede para entrar em contato com o atendimento caso não tenha sido solicitado. O que tá errado, mais um erro pra nossa lista. Tipo, o padrão quando alguém solicita uma troca de senha é: se foi você, você clica no link; se não foi, você ignora. Até porque tudo que é necessário pra enviar esse email de troca de senha é o CPF, quase público.

Então nesse sentido, a moça errou por não seguir a recomendação no email, porém se ela possui experiência com serviços online sabe que não é necessário. (É necessário, no caso do Nubank, porque eles não avisam sobre a troca de email, mas ninguém sabe disso, só nós que testamos.)

Mas um desconto que a gente pode dar pra ela foi o fato de que, entre o email de troca de senha e o email de alteração de email, se passaram três minutos! Não é possível supor que alguém consiga tomar uma ação nesse período. E é só um email de reset de senha.

O aviso de troca de email só é enviado depois que a alteração é concluída, não quando ela é iniciada. Você não tem como saber da troca de email antes de ela ser efetivada, pelo menos foi o que aconteceu comigo, com o @caioluiz7500 e aparentemente com a moça do LinkedIn. Por isso comentei que não tem como agir em relação aos emails.

O que significa “negar”? Negar a troca do email? O Nubank não pede uma confirmação sua pra troca de email. O golpista só precisa burlar a foto.

Moço, só citei sua fala sobre o email porque teve uma informação nova que chegou na conversa (a troca de email não é informada ao email antigo até ser concluída), só isso. Não tô te acusando de nada não

Moço não tô me sentindo acusado de nada não, relaxe o côco. Apenas estou dizendo que a alteração é informada ao e-mail antigo no mesmo instante que alteração é feita! O que dá tempo suficiente para o cliente agir, se ele quiser agir em vez de ignorar o aviso. Essa é a melhor forma? Acho que não, mas ela não deixa de ser boa. Claro que uma 2FA, não seria má idéia, mas sob coação dos golpistas, ela também cai por terra.

Eu fiz portabilidade da minha linha e por segurança decidi colocar um telefone de backup no Nubank e em outra fintech que uso. Estava com receio de algum problema ocorrer durante a portabilidade.

No Nubank, a alteração do telefone foi instantânea. Eu recebi um e-mail avisando.

Na outra fintech, assim que alterei o celular fui deslogado. Precisei passar pelo processo de verificação deles:

1. Confirmar token via e-mail.
2. Confirmar token enviado para o número anterior.
3. Confirmar token enviado para o novo número.
4. Foto do RG, frente e verso.
5. Foto segurando o RG.
6. Selfie (movimentando o rosto durante o processo, proteção contra deepfakes).

Mesmo depois disso fiquei trancado fora da conta. Quando confirmaram a alteração, após logar tive que novamente passar pelo passo 5 e 6.

Pode ser burocratico, mas uma regra de ouro em segurança da informação é que a alteração precisa ser comunicada para os contatos anteriores, e confirmadas por eles.

Exatamente. A troca de e-mail pela selfie. A mensagem por e-mail só é enviada depois que a troca foi concluída.

No caso da perda do email infelizmente não é possível fazer a confirmação, mas a comunicação é essencial. Foi bom a gente ter exposto esse problema aqui.

O Nubank hoje entende o telefone celular como algo auto-declaratório. Tá ali só por estar mesmo, é fácil de trocar mas você não consegue usar para acessar a conta nem alterar as credenciais de acesso. Nem comunicação eles fazem.

Gosto dessa abordagem, pois, a priori, depender do telefone não é uma boa ideia; ele não é rigorosamente seguro. Você não consegue tomar medidas pra proteger sua linha telefônica, apenas confiar na sua operadora e seus milhares de funcionários pelo país, com longo histórico de fraudes.

A burocracia que você comentou sobre a troca de telefone na outra fintech deveria ser a burocracia implementada para a troca de email no Nubank. Pelo menos quando a pessoa não possui acesso à senha da conta.

O telefone e a senha quando trocados dentro do aplicativo, correto? Porque a troca da senha sem acesso ao aplicativo, através do “Esqueci minha senha”, manda um link direto pro email cadastrado.

É uma fonte de verdade extra para confirmação de identidade, já que 2FA de verdade (algo que você tem – Google Authenticator) não é possível no momento.

Mas concordo totalmente sobre a insegurança da linha telefônica. Sempre deve ser utilizado em conjunto com verificação via e-mail.