Olhar Digital > Segurança e Privacidade > Golpe: problema gravíssimo de segurança envolvendo a operadora Claro, o Instagram e bancos digitais

Golpe: problema gravíssimo de segurança envolvendo a operadora Claro, o Instagram e bancos digitais

Um tipo cada vez mais comum de golpe expõe um grave problema de segurança a operadora Claro, o Instagram e bancos digitais
Por Ronnie Mancuzo, editado por Jeniffer Cardoso 06/03/2022 07h20
Pessoa irritada com golpe em sua conta na Claro, em seu perfil no Instagram e com conta falsa aberta em seu nome em banco digital
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

Um grave problema de segurança está afetando a Claro, o Instagram e bancos digitais, como o Dotz. Esta alegação vem do especialista em segurança Jorge Lordello e de outros clientes da operadora de telefonia com perfil na rede social.

Ofertas
Cis Cola Em Bastão Fix 34 Gramas, Blister
Vendido por Amazon
Cis Cola Em Bastão Fix 34 Gramas, Blister
De: R$ 9,60
Por: R$ 7,60
Estojo Escolar Organizador Box Grande Para Lapis Feminino Masculino Material Escolar (Azul)
Vendido por Amazon
Estojo Escolar Organizador Box Grande Para Lapis Feminino Masculino Material Escolar (Azul)
Por R$ 38,70
Compasso Escolar 106-S, CIS, 18.7700, Estojo c/1 sortido (Não é possível escolher cor)
Vendido por Amazon
Compasso Escolar 106-S, CIS, 18.7700, Estojo c/1 sortido (Não é possível escolher cor)
De: R$ 31,40
Por: R$ 21,77
Ecolapis Cor Pastel F.Castell 10 Cores, Faber-Castell, 120510P, Multicor, pacote de 10
Vendido por Amazon
Ecolapis Cor Pastel F.Castell 10 Cores, Faber-Castell, 120510P, Multicor, pacote de 10
De: R$ 21,00
Por: R$ 16,63
Tilibra - Estojo Box Académie Cinza
Vendido por Amazon
Tilibra - Estojo Box Académie Cinza
De: R$ 106,90
Por: R$ 59,95
Estojo Escolar Box Grande Organizador com Divisórias e Alça - Estojo Necessaire Unissex Capacidade Ampla para Lápis, Canetas, Material Escolar (Preto)
Vendido por Amazon
Estojo Escolar Box Grande Organizador com Divisórias e Alça - Estojo Necessaire Unissex Capacidade Ampla para Lápis, Canetas, Material Escolar (Preto)
Por R$ 34,90
Chamequinho Papel A4, 75 g, 100 Folhas, Verde Sulfite
Vendido por Amazon
Chamequinho Papel A4, 75 g, 100 Folhas, Verde Sulfite
De: R$ 9,90
Por: R$ 7,20
Estojo Escolar Box Grande Infantil Organizador Para Lapis Feminino Masculino Nylon Com Divisoria Necessarie Ziper Resistente Marca Calmfy - Preto
Vendido por Amazon
Estojo Escolar Box Grande Infantil Organizador Para Lapis Feminino Masculino Nylon Com Divisoria Necessarie Ziper Resistente Marca Calmfy - Preto
Por R$ 38,80
Pentel Kit Caneta Pincel Brush Sign Pen 06 Cores Tradicionais KITBRUSH-6T
Vendido por Amazon
Pentel Kit Caneta Pincel Brush Sign Pen 06 Cores Tradicionais KITBRUSH-6T
De: R$ 89,26
Por: R$ 69,70
Tilibra D+ - Caderno Brochura Capa Dura, 1/4 Pequeno, 14x20cm, 96 Folhas, Verde
Vendido por Amazon
Tilibra D+ - Caderno Brochura Capa Dura, 1/4 Pequeno, 14x20cm, 96 Folhas, Verde
Por R$ 8,90
Tilibra - Planner Grampeado 17,8 x 25,4 cm Kraftwork 90 G 2026 - Be The Change
Vendido por Amazon
Tilibra - Planner Grampeado 17,8 x 25,4 cm Kraftwork 90 G 2026 - Be The Change
Por R$ 22,90
Estojo Escolar Box Grande Infantil Organizador Para Lapis Feminino Masculino Nylon Com Divisoria Necessarie Ziper Resistente Marca Calmfy (Azul-Escuro)
Vendido por Amazon
Estojo Escolar Box Grande Infantil Organizador Para Lapis Feminino Masculino Nylon Com Divisoria Necessarie Ziper Resistente Marca Calmfy (Azul-Escuro)
De: R$ 42,99
Por: R$ 30,00
Tablet VAIO TL12 8GB 256GB Octa-Core, Tela AMOLED 12.6” 2.5K, com Teclado de Conexão Inteligente e Caneta Ativa, 5G WiFi, Câmera 13MP + Selfie 12MP, 10.090mAh, Android 15 – Preto
Vendido por Amazon
Tablet VAIO TL12 8GB 256GB Octa-Core, Tela AMOLED 12.6” 2.5K, com Teclado de Conexão Inteligente e Caneta Ativa, 5G WiFi, Câmera 13MP + Selfie 12MP, 10.090mAh, Android 15 – Preto
Por R$ 3.199,00
Carregador Portátil Baseus Digital Display Power Bank carregamento rápido 15W/22.5W (Preto 22.5W, 10000, Milliamp Hours)
Vendido por Amazon
Carregador Portátil Baseus Digital Display Power Bank carregamento rápido 15W/22.5W (Preto 22.5W, 10000, Milliamp Hours)
De: R$ 249,99
Por: R$ 129,99
Controle Remoto Tv Samsung Smart
Vendido por Amazon
Controle Remoto Tv Samsung Smart
De: R$ 19,90
Por: R$ 7,39
STAEDTLER Caneta Ponta Fina Triplus Fineliner 0.3mm Estojo 8 Cores Sortidas + 2-334 BK10 TA - Corpo Ergonômico Triangular – Ideal para Escrita e Bullet Journal
Vendido por Amazon
STAEDTLER Caneta Ponta Fina Triplus Fineliner 0.3mm Estojo 8 Cores Sortidas + 2-334 BK10 TA - Corpo Ergonômico Triangular – Ideal para Escrita e Bullet Journal
De: R$ 76,53
Por: R$ 31,75
Nobreak Interativo XNB 720 BIvolt Preto Intelbras
Vendido por Amazon
Nobreak Interativo XNB 720 BIvolt Preto Intelbras
De: R$ 642,59
Por: R$ 481,00
Tilibra - Estojo Tilibra Box Academie Preto
Vendido por Amazon
Tilibra - Estojo Tilibra Box Academie Preto
De: R$ 85,90
Por: R$ 66,99
Garmin Relógio Venu 3 Preto 45mm com Monitor Cardíaco de Pulso e GPS
Vendido por Amazon
Garmin Relógio Venu 3 Preto 45mm com Monitor Cardíaco de Pulso e GPS
De: R$ 4.699,00
Por: R$ 3.799,00
Mouse Gamer Redragon Bullseye Pro, Wireless 2.4GHz Cabo ou Bluetooth, RGB, 7 Botões, 26000DPI, Preto - M806RGB-PRO
Vendido por Amazon
Mouse Gamer Redragon Bullseye Pro, Wireless 2.4GHz Cabo ou Bluetooth, RGB, 7 Botões, 26000DPI, Preto - M806RGB-PRO
De: R$ 316,25
Por: R$ 225,90
AuroraLink Adaptador Carplay sem fio para Apple iPhone e Android Auto 2 em 1, adaptador sem fio Carplay rápido e estável, converte com fio para dongle de reprodução de carro sem fio para iOS 10+
Vendido por Amazon
AuroraLink Adaptador Carplay sem fio para Apple iPhone e Android Auto 2 em 1, adaptador sem fio Carplay rápido e estável, converte com fio para dongle de reprodução de carro sem fio para iOS 10+
Por R$ 396,55
Baba Eletronica, Camera de Segurança Wifi, Tela LCD, Áudio Bidirecional, VOX (Ativação por Voz), Alerta de Temperatura, Lembrete de Alimentação, 8 Canções, Sinal FHSS Criptografado
Vendido por Amazon
Baba Eletronica, Camera de Segurança Wifi, Tela LCD, Áudio Bidirecional, VOX (Ativação por Voz), Alerta de Temperatura, Lembrete de Alimentação, 8 Canções, Sinal FHSS Criptografado
De: R$ 399,99
Por: R$ 269,99
Câmera IP Sem Fio de Segurança Externa HD 3MP, Câmera de Visão Noturna Infravermelha WiFi, tripla Lente Grande Angular, IP68 à Prova D'água e à Prova de Poeira
Vendido por Amazon
Câmera IP Sem Fio de Segurança Externa HD 3MP, Câmera de Visão Noturna Infravermelha WiFi, tripla Lente Grande Angular, IP68 à Prova D'água e à Prova de Poeira
De: R$ 299,00
Por: R$ 216,11
Suporte Celular com Rastreamento Automático de Movimento e Rosto, Rotação de 360° Automática, Segue Seus Movimentos, Tripé Estabilizador Celular Câmera Inteligentecom, Com Controle Remoto, Lives
Vendido por Amazon
Suporte Celular com Rastreamento Automático de Movimento e Rosto, Rotação de 360° Automática, Segue Seus Movimentos, Tripé Estabilizador Celular Câmera Inteligentecom, Com Controle Remoto, Lives
De: R$ 84,90
Por: R$ 79,90
Basike Power Bank 30000mAh, Carregador Portátil com Carregamento Rápido, USB-A (até 22,5W, QC) + USB-C (até 20W, PD) + 2 Cabos Integrados (USB-C e Lightning), LED Numeric Power Display – Preto
Vendido por Amazon
Basike Power Bank 30000mAh, Carregador Portátil com Carregamento Rápido, USB-A (até 22,5W, QC) + USB-C (até 20W, PD) + 2 Cabos Integrados (USB-C e Lightning), LED Numeric Power Display – Preto
Por R$ 198,00
Redragon MOUSE GAMER INVADER CHROMA RGB - M719-RGB
Vendido por Amazon
Redragon MOUSE GAMER INVADER CHROMA RGB - M719-RGB
Por R$ 108,99
Teclado Magnético Gamer Redragon Kumara PRO K552RGB USB RGB Preto Switch Marrom
Vendido por Amazon
Teclado Magnético Gamer Redragon Kumara PRO K552RGB USB RGB Preto Switch Marrom
De: R$ 330,05
Por: R$ 275,90
Kit Roteador Mesh Wi-Fi 6 Gigabit AX3000 - Deco X50(2-pack)(US)
Vendido por Amazon
Kit Roteador Mesh Wi-Fi 6 Gigabit AX3000 - Deco X50(2-pack)(US)
De: R$ 1.156,80
Por: R$ 948,90
GoPro Max 360 - Câmera de Ação à Prova d'água, Vídeo 360 5.6K, Reenquadramento 4K, Foto 360, GPS, Live 1080p, Max HyperSmooth, TimeWarp, Trava de horizonte, Capturas com bastão invisível
Vendido por Amazon
GoPro Max 360 - Câmera de Ação à Prova d'água, Vídeo 360 5.6K, Reenquadramento 4K, Foto 360, GPS, Live 1080p, Max HyperSmooth, TimeWarp, Trava de horizonte, Capturas com bastão invisível
De: R$ 2.699,00
Por: R$ 2.069,90
Garmin Relógio Forerunner 965 Preto 47mm com Monitor Cardíaco de Pulso e GPS
Vendido por Amazon
Garmin Relógio Forerunner 965 Preto 47mm com Monitor Cardíaco de Pulso e GPS
De: R$ 6.149,00
Por: R$ 5.489,00
HP, Impressora HP Laser 107a. Tecnologia de impressão Laser Impressora para Pequenas e Médias Empresas. Conectividade: USB 2.0 de alta velocidade (4ZB77A), Branco/Cinza
Vendido por Amazon
HP, Impressora HP Laser 107a. Tecnologia de impressão Laser Impressora para Pequenas e Médias Empresas. Conectividade: USB 2.0 de alta velocidade (4ZB77A), Branco/Cinza
Por R$ 959,00

Resumidamente, golpistas conseguem obter um novo número telefônico (chip) da Claro em nome de uma pessoa (os criminosos fecham a conta da vítima, ou simplesmente fazem uma portabilidade). Em seguida, eles assumem o perfil no Instagram dessa pessoa e passam a comercializar produtos pela rede social, negociando por meio de Pix cadastrado em uma conta bancária digital criada em nome da mesma vítima.

Leia também:

Relato de Jorge Lordello

O especialista viu a situação com muito horror, devido à fragilidade da segurança cibernética (ou à falta dela) nessa situação em que foi vítima. Na tarde da última quinta-feira (3), após terminar sua gravação no programa Operação de Risco, na Rede TV, Lordello descansou por uma hora e foi até a academia.

No meio do caminho, ele foi fazer uma ligação e percebeu que sua linha de celular estava inoperante. Não só ela como sua internet móvel da operadora Claro também estava inoperante.

Lordello, naquele mesmo momento, foi a uma loja da Claro em um shopping próximo de onde ele se encontrava. No local, a atendente falou para ele que houve uma tentativa de entrada na conta feita por golpistas. Por esse motivo, a operadora resolveu bloqueá-la.

Para resolver isso ali na loja da Claro, seria necessário apresentar um documento pessoal (RG ou CPF), que ele teve que ir buscar em sua residência, voltar para a loja e então poder ter essa questão resolvida. Infelizmente, este era só o começo do problema.

Conta no Instagram invadida

Assim que desbloqueou sua conta na Claro, Lordello começou a receber diversas notificações de pessoas em seu WhatsApp dizendo que seu perfil no Instagram havia sido hackeado. Então, ele tentou entrar em sua conta na rede social e não conseguiu.

Para verificar o que estava acontecendo com essa respectiva conta, Lordello entrou em uma outra conta que possui no Instagram e buscou o primeiro perfil – que teria sido invadido. O especialista em segurança constatou que os criminosos invadiram aquela conta na rede social, alterando as configurações de número de celular e e-mail (dados pessoais que ele possui há dez anos).

Para tentar falar com o Instagram, foi um sacrifício. Lordello afirma que não conseguia falar com a rede social de jeito nenhum (já que seus dados pessoais tinham sido alterados nela). Ele disse que, após uma série de tentativas, uma identificação e uma queixa foram feitas através de vídeo, “eles abrem uma câmera, pedem para você se posicionar, olhando pra cima, pra baixo e pro lado”.

O procedimento, segundo o Instagram, serve para um reconhecimento baseado nas fotos que o usuário possui na rede social.

24 horas… e 6 horas a mais depois

Após essa etapa, Lordello recebeu um e-mail do Instagram, dizendo que a rede social daria uma resposta em 24 horas. Somente 30 horas depois o e-mail apareceu, dizendo que as imagens capturadas no procedimento não eram condizentes com as existentes no perfil (que ainda estava ativo e invadido).

Durante aquelas fatídicas horas, enquanto esperava o e-mail do Instagram, ele entrou em contato com o maior número de pessoas possível, pedindo para elas denunciarem que sua conta havia sido hackeada. Porém, a rede social manteve a conta funcionando… e pior.

Venda de mercadorias e conta aberta em banco digital

Os criminosos que invadiram a conta de Lordello estavam vendendo mercadorias (equipamentos eletrônicos) como se fossem ele, inclusive interagindo com os possíveis compradores.

No golpe, os criminosos se passam pela vítima e interagem com possíveis compradores pelo Instagram
Imagem: Reprodução

O especialista frisa bem que esse tipo de interação ele jamais tinha feito na rede social. E mais. Uma conta no banco digital Dotz foi aberta em seu nome, usando seus dados pessoais (nome e CPF).

Com isso, a conta hackeada passava um ar de credibilidade, já que as falsas vendas de produtos eram negociadas a partir de uma chave Pix criada com o CPF do especialista em segurança. Quando o comprador digitava o número do documento (chave Pix) para fazer o pagamento, aparecia o nome de Lordello, o que fazia parecer que tudo estava sendo feito de forma totalmente legítima.

Boletins de ocorrência

Daquela quinta-feira até o começo da tarde de sábado (5), foram feitos dois boletins de ocorrência na Polícia Civil – um deles sobre as invasões de sua conta na rede social e de sua linha telefônica/internet e outro sobre a conta aberta no banco Dotz em seu nome.

Após Lordello ter recebido o e-mail do Instagram dizendo que as imagens (do procedimento de reconhecimento) não condiziam com as existentes no perfil, o especialista em segurança enviou um grande e-mail de resposta para a empresa de mídia social, contendo os boletins de ocorrência, além de documentos digitalizados.

Só então ele conseguiu ter acesso à sua conta no Instagram – que mantinha todos os posts com mercadorias sendo vendidas. Foi o próprio Lordello quem teve que deletar todo conteúdo criado pelos golpistas.

Constatações e considerações de Lordello

O especialista em segurança constatou que os criminosos entraram em contato com a Claro solicitando a mudança de chip e conseguiram (após algum procedimento de identificação frágil da operadora). A partir daí, Lordello já não tinha mais contato no chip que possuía em seu celular.

Rapidamente, os criminosos invadiram sua conta no Instagram, alteraram dados cadastrais de e-mail e número de telefone originais do perfil e colocaram novos dados (de e-mail e número de telefone). Com essas informações alteradas, é impossível tentar retomar a conta pelos procedimentos comuns de “Esqueci minha senha”.

Lordello afirma com todas as letras que “é impressionante o quanto a Claro, o Instagram e o banco digital Dotz conseguem ser ludibriados com tanta facilidade”. Chama a atenção outro apontamento feito pelo especialista em segurança.

Insegurança com dados de usuários e clientes

O Instagram, mesmo após receber uma onda de denúncias de que a conta havia sido hackeada, manteve o perfil em atividade. Não houve consideração por parte da rede social que, logo após a troca de dados cadastrais importantes, como e-mail e telefone, começou a receber as denúncias.

O Instagram também “não achou nada estranho” um perfil que nunca realizou venda de produtos começar de repente a vender equipamentos eletrônicos com transação pelo Pix. Além disso, Lordello questiona quais ações o Banco Central toma para proteger a população diante da insegurança que as agências bancárias digitais parecem apresentar.

Grave falha de segurança parece ser muito mais comum do que se imagina

Este grave problema de segurança envolvendo respectivamente a Claro e o Instagram, além de uma instituição bancária (ao que tudo indica, digital), parece ser mais comum do que se imagina. No Twitter, o cardiologista e arritmologista José Alencar descreveu hoje mesmo ter sido vítima de um golpe basicamente idêntico que vitimou Jorge Lordello.

Ponto crucial de segurança

Ao longo da sequência de tweets, Alencar descreve uma forma de manter sua conta segura no Instagram. A primeira dica é, literalmente, sair da Claro Brasil agora, hoje. “Se você não caiu no golpe ainda, cairá mais cedo ou mais tarde”.

Além disso, o cardiologista indica o uso de aplicativos de autenticação em dois fatores, como o Microsoft Authenticator, o LastPass (pago), o Google Authenticator e o Authy. Mas Alencar diz que isso não ajuda na segurança quando o golpista já está com o número de celular da Claro que “ganhou” da operadora.

Eis então que há um ponto crucial que o cardiologista lembra em sua sequência de posts: entre em configurações de novo, e vá em Conta > Informações Pessoais e… apague seu número telefônico dali.

Assim, o e-mail da pessoa passa a ser “a última fortaleza”. Ou seja, é ainda necessário dar mais segurança a ele, criando uma senha efetivamente segura e adicionando proteção em dois fatores para o e-mail também.

Tentamos contato com as assessorias das empresas Claro, Instagram e Dotz para se posicionarem sobre os problemas relatados. Até o momento do fechamento desta matéria, não obtivemos respostas.

Agradecemos a Jorge Lordello, que procurou o Olhar Digital para dar seu relato e por confiar em nosso trabalho. O especialista em segurança também está em contato com uma advogada para buscar providências legais sobre o caso.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!

Imagem: fizkes/iStock

Ronnie Mancuzo
Redator(a)
Ronnie Mancuzo no LinkedIn

Ronnie Mancuzo é analista de sistemas com especialização em cybercrime e cybersecurity | prevenção e investigação de crimes digitais. Faz parte do Olhar Digital desde 2020.

Jeniffer Cardoso
Redator(a)
Jeniffer Cardoso no LinkedIn

Jeniffer Cardoso é formada em jornalismo pela Universidade Metodista de SP e trabalha na área desde 2004. Chegou ao Olhar Digital em 2021, para atuar na distribuição de conteúdo nas redes sociais.

Ícone tagsTags: