Criminosos se aproveitaram da conveniência do Touch ID do iPhone para roubar dinheiro de usuários, segundo informações reportadas pela empresa de cibersegurança ESET em seu blog. Além de permitir o desbloqueio do iPhone, o recurso de biometria consegue aprovar uma compra na App Store. Enquanto as vítimas escaneavam suas digitais acreditando estar pagando por um serviço idôneo, elas, na verdade, estavam sendo roubadas.
Vários usuários do Reddit reportaram na última semana que dois apps chamados “Fitness Balance” e “Calories Tracker” aplicavam técnicas similares para enganar usuários do iOS. Como parte de uma suposta ferramenta de rastreamento de atividade física, os apps pediam a usuários para posicionarem suas digitais no Touch ID por 10 segundos para entregar coisas como uma dieta personalizada. Enquanto o dedo do usuário estava posicionado no leitor, mensagens de solicitação de compra pediam para liberar quantias altas como US$ 100 e, uma vez que o dedo do usuário já estava posicionado, o pedido era aprovado quase que imediatamente.
Em alguns casos, mesmo quando o usuário se recusava a usar o Touch ID para ativar um recurso, o aplicativo demandava o toque para continuar, o que acabava por ativar o golpe de pagamento. Não está claro se esses aplicativos vieram de desenvolvedores separados ou de uma única pessoa que opera diversas contas. O que chama a atenção é que para efetuar o golpe não foi empregado nenhum malware e sim explorada a facilidade de uso do Touch ID.
“Os criminosos enxergam os usuários de dispositivos móveis e de aplicativos como uma oportunidade para ganhar dinheiro e a Apple Store e a loja do Google Play como avançados canais de distribuição. Como resultado, eles estão encontrando maneiras de contornar os processos de verificação para inserir seus aplicativos fraudulentos e mal-intencionados nos dispositivos dos consumidores. Isso mostra que, embora as lojas busquem retirar do ar apps ruins, os criminosos só ficam melhores em encontrar soluções alternativas”, analisa Sam Bakken, gerente sênior de marketing de produtos da OneSpan.
A ESET ainda chama atenção para o fato dos apps serem bem avaliados na App Store. Isso porque apesar de sua natureza maliciosa, o app Fitness Balance recebeu diversas vezes 5 estrelas, e tinha uma média de 4,3 estrelas e uma série de resenhas positivas - o que leva a crer que as resenhas eram falsas, uma técnica conhecida por cibercriminosos para melhorar a reputação de seus apps. Segundo a companhia de cibersegurança, muitas vítimas reportaram o golpe à Apple, que levou a remoção das aplicações da loja de apps.
Como se prevenir
Para Bakken da OneSpan, os consumidores precisam aplicar um exame adicional aos aplicativos que baixam - mesmo das lojas - e analisar as avaliações porque não podem contar com a Apple ou com o Google para protegê-los em todas as instâncias. “Felizmente, bancos e instituições financeiras podem facilmente integrar recursos de proteção em seus aplicativos móveis para blindá-los de ambientes hostis e não confiáveis e assim proteger os usuários de si mesmos”, conclui o especialista.
Não se sabe quantas pessoas perderam dinheiro com as fraudes. Usuários do iPhone X ou posterior não foram afetados, pois esses dispositivos não possuem o botão do Touch ID. Usuários do iPhone 8 ou de modelos anteriores devem ficar atentos e empregar o Touch ID somente em aplicativos nos quais tenham motivos para confiar.
Nenhum comentário:
Postar um comentário