O golpe da troca de e-mail ataca novamente

Conta do Nubank
1

Bom dia, comunidade!

Entendo que já existem diversos tópicos sobre o assunto, mas a questão é: a nossa NuConta continua vulnerável ao golpe da troca de e-mail sem interferência do usuário.

Para entender melhor esse golpe, sugiro a leitura da thread criada pelo usuário @lucasresck:

Enfim, finalmente encontrei um tempo para relatar o que vivenciei na última 6ª feira, dia 04/11/22.

Uma pessoa próxima do meu círculo social (coloco dessa forma por questões de privacidade), me reportou por whatsapp, durante a tarde, que havia recebido um e-mail do nubank que o e-mail da sua conta havia sido alterado.

A partir disso podemos deduzir algumas coisas:

  1. O golpista enganou o mecanismo de verificação de identidade do banco (utilizando, talvez, uma foto forjada ou uma foto real de algum serviço alheio - seja por vazamento de dados ou por utilização indevida/venda de informações por funcionários mal intencionados), e;
  2. Como houve a troca do e-mail, o golpista efetivamente pode ter tido acesso à visualização das economias e investimentos armazenados na nubank/nuinvest.

Tão logo a notificação por e-mail foi recebida, a pessoa entrou em contato com o banco para evitar que a fraude continuasse.

Contudo, acho importante ressaltar o fato de que as informações financeiras de uma pessoa são privadas. No artigo 52, § 7º da LGPD, consta:

Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo. (Incluído pela Lei nº 13.853, de 2019) Vigência

Cabe lembrar que o responsável pela guarda dessas informações, no caso o nubank, deve informar o titular da conta sobre qualquer acesso indevido (contendo todas as informações porventura acessadas indevidamente).

E pra quem achou que essa história acabava por aqui, está enganado. Logo após isso ter ocorrido, eu fui surpreendido por e-mails da nubank me avisando sobre tentativas de trocas de senha.

Imediatamente entrei em contato com o suporte da nubank, que me informou:

  1. Houve tentativa de troca de e-mail, o que supostamente foi barrado por uma ferramenta automatizada.
  2. Sugeriu eu trocar o e-mail/senha (o que, sinceramente, não acho que faz muito sentido, dado que o golpe utiliza outros meios para fazer o account takeover).

O que eu acredito que tenha acontecido:

  1. Golpista tentou trocar o meu e-mail, enviando foto forjada ou real (vazada/comprada/etc.) minha.
  2. Como nesse período de análise de identidade ele fica “no escuro”, logo disparou diversas tentativas para troca de senha (esperando que chegasse no e-mail que ele informou).
  3. Como não houve troca efetiva de e-mail, ele possivelmente não conseguiu nenhum acesso à conta.

Não bastassem os relatos que surgem aqui na comunidade e também nas redes sociais, foi a minha vez de experimentar de forma muito próxima esse problema de segurança que o nubank vive.

Entendo que eles precisam equilibrar custo x facilidade para poder atender o maior número de pessoas de forma remota, porém isso acaba abrindo brechas de segurança inaceitáveis.

Uma possibilidade real que eles poderiam implementar seria o 2FA baseado em token (Google auth, Authy, etc.) para todo acesso e também para qualquer operação sensível (ex: troca de e-mail). O segundo fator por foto é frágil, tendo em vista que, durante a pandemia da covid-19, inúmeros serviços começaram a utilizar o mesmo mecanismo para validar uma identidade - o que amplia as possibilidades de vazamento de informações.

Entendo que isso poderia acarretar em dores de cabeça no atendimento (maior custo), porém essa opção estaria desligada por padrão. Além disso, para ativá-la o usuário poderia ser alertado inúmeras vezes que, caso ele perca o acesso ao token - e aos códigos de backup -, a recuperação de conta demorará bastante (nesse caso o nubank determinaria o número de dias úteis viáveis para eles atenderem/analisarem a situação).

Achei importante relatar para que possamos ter mais segurança com o roxinho, especialmente agora que ele está integrando funções da NuInvest!

Recentemente tivemos a chegada do “Modo Rua”, que considero uma vitória da nossa comunidade. Torço muito (e espero que os demais clientes também cobrem!) por uma solução para esse problema de roubo de conta (e acesso indevido a informações privadas) sem a intervenção do usuário.

Ps: o curioso é que o “modo rua” também pode ser desligado pelo envio de uma selfie… :man_shrugging:

10 curtidas
2

Infelizmente, toda operação tecnológica sempre possui uma falha. O método mais difícil de burlar, deve ser aquele que os bancos tradicionais fazem que é o cliente indo no banco para autorizar o app, já que nesse caso exige a presença do cliente, é bem mais difícil alguma pessoa má intencionada conseguir burlar.

Mas isso também deixa a vida do próprio cliente mais difícil, pois caso desinstale o app do banco ou formate o celular tem que tirar um dia para ir no banco fazer a autorização.

3 curtidas
3

Atualização sobre o caso: a pessoa acabou de me contar que trocaram o e-mail dela de novo agora há pouco.

A conta já está sob ataque desde 6ª e o sistema continua permitindo acessos indevidos.

Pode isso, Arnaldo?

2 curtidas
4

De fato, @caioluiz7500, essa opção dos bancões realmente é bem segura. A alternativa sugerida e que vem sendo indicada aqui há tempos na comunidade, seria a opção de 2FA + token via ativação com QrCode (assim como já temos em diversos serviços 100% online, como nas contas do Google).

Lembrando que a recuperação por SMS não é indicada por conta das fraudes de SIM swap, que muitas vezes contam com ajuda de pessoas internas à operadora de telefonia.

3 curtidas
5

No caso do Google existem 10 códigos (de uso único) de backup caso o usuário perca acesso aquele código numérico de 6 dígitos que muda a cada 30 segundos. O Nubank deveria fazer algo parecido, ai cabe ao cliente guardar esses códigos de uso único em um lugar seguro caso perca acesso ao token.

3 curtidas
6

O Google tem esse mecanismo de 2FA, mas isso não impediu de hackearam o Youtube do Loop Infinito, não sei se você acompanhou esse caso, mas isso me surpreendeu muito.

Muitas pessoas ainda usam a mesma senha de login do Nubank em outros serviços e caso algum desses seja hackeado há risco para a conta do Nubank, essa é a primeira dica que falo para amigos e familiares, e no caso específico de banco já vejo motivos para se utilizar somente um e-mail específico, separando do pessoal.

O que vier de sugestão para segurança compartilhe aqui com a gente, a partir de algumas experiências compartilhadas na comunidade foi criada essa página especial sobre fraudes:

4 curtidas
7

Olá ree, apurei esse caso com fontes da rede e do próprio canal deles (não os conhecia).

O que pude constatar: ele possuía recuperação de conta baseada em telefone celular (altamente vulnerável) e a autenticação em duas etapas foi ativada pelo próprio hacker. Fonte: https://tecnoblog.net/noticias/2021/09/13/hacker-invade-canal-loop-infinito-no-youtube-para-promover-criptomoedas/.

Também vi que durante uma live deles - após a invasão - é comentado sobre a ativação da chave física (yubikeys - Discover YubiKeys | Strong Two-Factor Authentication for Secure Login) que o Google também suporta para maior proteção, sendo o “padrão ouro” no quesito autenticação em 2 fatores (ver o link => https://youtu.be/Y6SxNm-g4kQ?t=3644).

Sempre sou muito cauteloso em afirmar se um mecanismo específico de segurança impediu ou não essa ou aquela invasão. Um ataque cibernético pode possuir diversos vetores e sem uma apuração completa (os famosos post mortem raramente divulgados) fica difícil determinar qual(is) fator(es) possibilitou(ram) o ataque.

No caso da recuperação de conta do Nubank, seja ele totalmente automatizado ou parcialmente feito com o auxílio de uma pessoa, acaba por criar uma confiança excessiva nesses atores que podem liberar uma conta bancária sem uma confiabilidade plena de que quem está solicitando uma troca de e-mail é de fato o verdadeiro titular.

Eu particularmente acho extremamente vulnerável o uso de imagens para fazer esse tipo de liberação, especialmente agora com o avanço de tecnologias de manipulação e criação de imagens com inteligência artificial (ver o DALL·E 2 e https://www.youtube.com/watch?v=CDMVaQOvtxU). Apesar de parecer algo muito distante, muitos desses projetos são open source e ficam disponíveis para qualquer um experimentar/utilizar (basta pesquisar na plataforma GitHub).

Mas não acredite só na minha palavra. Em um dos maiores fóruns sobre discussões sobre segurança da informação isso já foi debatido. Veja: Selfie as form of authentication for credit card transactions - Information Security Stack Exchange. Excerto retirado dessa fonte: This idea of using a selfie is absurd! If you want to be secure, combine it with other methods such as a secure password, pin, 2 factor authorization, and a series of questions which the user sets answer to at the time they setup their account.

A própria Nubank chegou a criar um post sobre o assunto (https://blog.nubank.com.br/autenticacao-dois-fatores/) e confirma que utiliza a selfie como um segundo fator de autenticação para a NuConta.

Some a isso os vazamentos de dados recorrentes (endereço, cpf, nome completo, imagem dos documentos, etc.) fica fácil até mesmo derrotar algum cruzamento de dados que pode estar sendo utilizado (geotagging, dispositivo utilizado, etc.)

Enfim, a solução que é padrão da indústria pode não ser a mais amigável para os usuários, mas definitivamente cria uma barreira muito difícil para um golpista transpor.

2 curtidas
8

Boa noite!

Eu criei aquela thread sobre o golpe da troca de email em janeiro pois lembro que fiquei muito surpreso com a vulnerabilidade que havia ouvido falar. Uma mulher havia reportado no LinkedIn e repercutiu bastante na época. Lembro que fiz o processo de “invadir minha própria conta” apenas usando o meu rosto e deu certo e, querendo ou não, não é mais possível dizer que meu rosto é exclusividade minha hoje em dia.

Sinceramente, eu já desisti de esperar algum tipo de melhoria no processo de troca de email. Às vezes até já tivessem trocado e eu não soube, mas pelo seu relato vejo que não. O Nubank que lute a partir de agora haha Se eu tiver qualquer problema, é Banco Central ou liminar na Justiça. E não é nem exatamente um problema específico do Nubank, não; ainda hoje não conheci um banco (digital ou tradicional) que tivesse um pipeline de segurança padrão Google (não que não exista, e não que eu tenha procurado extensivamente também).

Existe alguma coisa no setor bancário que até as empresas de tecnologia (“fintechs”) ficam presas nesse modus operandi. Eu suponho que adotar um 2FA baseado em TOTP como o Google Authenticator, por exemplo, faria com que uma quantidade grande de usuários (mesmo que em porcentagem pequena, mas em grande valor absoluto) simplesmente perdesse acesso à conta, e seria uma trabalheira e um custo danado pra trazer essa galera de volta. Assim, eu tenho certeza que esse processo de segurança atual foi revisado muitas vezes e deve ter passado por muita gente antes de ter sido posto em produção. Enfim, como eu disse, o Nubank que lute hehe

Uma coisa que me deixa um pouco aliviado nesse golpe de troca de email é que pra autorizar o dispositivo e pra ter acesso à senha de quatro dígitos é necessário fazer a verificação com o rosto, mas que não é só uma foto, tem tipo um escaneamento mais completo do rosto. Não que isso não seja burlável, mas não é apenas uma selfie com documento vazada de uma bureau de crédito por aí que vai permitir acesso ao meu dinheiro, não. Pelo menos isso.

Baseado nos meus testes antigos, não acho que tenha sido isso. Tipo, o golpista vai saber quando a troca de email foi aprovada porque chega um email comprovando. Na verdade, quem fica no escuro (ou ficava, pelo menos na época) é a vítima, que não sabe que foi solicitada uma troca de email ATÉ QUE a troca de email seja efetivada! Um absurdo :hushed: O que pode ter acontecido nesse seu caso é que, eu acho, tem que pedir uma troca de senha antes de informar que não se tem acesso ao email (mas não tenho certeza).

Cara, eu concordo contigo, seria maravilhoso se o Nubank usasse um 2FA de verdade. Mas, assim, o que mais me deixa doido com isso é que não precisava, tipo, bastava desativar a troca de email usando selfie, pois o próprio email já é um 2FA bastante eficiente. O Nubank manda um código por email pro login, e aí você protege seu email como bem entender.

Me lembro que, antes de descobrir essa vulnerabilidade, o Nubank era a minha referência dentro do setor bancário em como lidar com segurança da forma com menos atrito possível:

  • CPF (pois ninguém nunca sabe o número da conta de cabeça, mas sim o CPF);
  • senha (com direito a gerenciador de senhas);
  • código por email (email este que pode ser protegido até com o Programa de Proteção Avançada do Google que você citou no seu último comentário).

Mas o criminoso pode simplesmente trocar o email se quiser, aí que tá o problema :clown_face:

Em relação a ataques virtuais, sabendo proteger seu email pessoal direitinho, não vejo motivo pra criação de um email apenas pra banco. A coisa fica mais embaixo quando se trata de ataques físicos, tipo roubo de celular com a senha/tela desbloqueada, pois aí o criminoso pode aproveitar o email logado no celular pra acessar bancos. Porém não estou convencido ainda haha

1 curtida
9

Por isso insisto nao deixar meu e-mail logado no celular de jeito nenhum. Pelo menos dificulta um pouco mais para os criminosos.

Valeu pelas sugestões aí @lucasresck!

1 curtida
10

Boa tarde!

Pois é, Lucas, eu havia pensado exatamente isso. Eles com certeza devem ter esses casos mapeados por quantidade/período e provisionam um contingencial dentro da probabilidade do risco.

Para a pessoa afetada é a pior das experiências, mas dentro de um pool de milhões de clientes, é só uma fração dos descontentes (certamente ex-clientes depois de vivenciar algo do tipo).

A questão da possibilidade de troca de e-mail pra eles é justificável justamente pela facilidade da recuperação de conta. A quantidade de pessoas que devem perder acesso ao e-mail ou não lembrar qual cadastrou deve ser recorrente.

Lembro que essa sugestão está no seu post sobre o assunto e não dá pra discordar que isso seria efetivo para mitigar esse tipo de fraude.

Uma alternativa seria permitir o cliente optar por “desligar” esse tipo de recuperação de conta, mas aí pra fazer isso:

    1. Nubank envia e-mail de confirmação para verificar se o cliente continua tendo acesso ao e-mail. Se afirmativo, a opção é desligada.
    1. Continua a enviar de forma recorrente (a cada 2 ou 3 meses) essa mensagem para manter essa opção inativa, similar ao processo de checagem da senha 2FA do Whatsapp.
    1. Caso o cliente falhe em verificar, o processo de recuperação automaticamente volta ao padrão (checagem por selfie, etc.)
1 curtida
11

Aconteceu comigo ontem, E o medo que ficou de voltar a usar…

12

Boa tarde, Carlos

Sinto muito que também tenha ocorrido com você. Obrigado por compartilhar.

Já se passaram 7 meses da publicação original e esse tipo de golpe continua acontecendo. Nada efetivo para impedir isso parece ter sido implementado.

Ficamos aqui pensando em técnicas avançadas (deep fake e o caramba) para falsificar o rosto de alguém, mas acho que a validação é bem mais simples do que imaginamos.

Começo a achar isso lembrando dos relatos de alguém aqui no fórum falando que botou uma peruca para invadir a conta de alguém para testar a segurança (e conseguiu!) :rofl:.

Por mais que o Nubank não tenha sido citado nessa reportagem, me chamou a atenção esse modus operandi extremamente “hi-tech” :sweat_smile:: Golpista usava boneco e fotos de vítimas para driblar reconhecimento facial de bancos; veja - YouTube.

Enfim, acredito que o tópico segue extremamente relevante e continuamos aqui na torcida por melhorias na segurança de verificação de identidade.

1 curtida