Com todas as recentes intrigas a respeito de quem no reino da News Corp., de Rupert Murdoch, sabia qualquer coisa sobre as escutas telefônicas, uma pergunta fundamental sobre o escândalo ficou praticamente sem resposta: Qual o grau de vulnerabilidade das casas americanas de hoje a espionagens parecidas? A resposta seria: maior do que você pensa.
AT&T, Sprint e T-Mobile não exigem que clientes de telefones celulares usem uma senha em suas caixas de correio de voz e muitas pessoas nunca se dão ao trabalho de definir uma. Mas se você não tiver senha, pessoas usando um serviço chamado coloquialmente de 'caller ID spoofing’ ('falsificação do identificador de chamadas’, em tradução literal) podem disfarçar outros telefones como se fossem o seu – e ganhar acesso às suas mensagens. Isso é possível porque os sistemas de correio de voz muitas vezes concedem acesso a chamadas que parecem vir de seu próprio número.
Enquanto isso, conforme descobriu recentemente Edgar Dworsky, defensor de consumidores que fundou o ConsumerWorld.org, alguém armado com apenas algumas informações pessoais sobre um 'alvo’ também pode obter acesso aos sistemas telefônicos automatizados de cartões de crédito do Bank of America e do Chase.
Assim que esses sistemas reconhecem o número de telefone da chamada recebida e aqueles pedaços de informações pessoais, eles oferecem todos os dados de débitos, pagamentos atrasados e limites de crédito do portador do cartão. O computador do Bank of America também lista dúzias de cobranças recentes, incluindo nomes de médicos e outros negócios que o titular possa ter frequentado.
Existem passos adicionais que as empresas de telefonia celular e as operadoras de cartões de crédito poderiam tomar para acabar com esse tipo de problema. O fato de muitas delas não fazerem nada, porém, transfere o problema para você. Esse tipo de violação não aconteceria sem o spoofing e, surpreendentemente, essa é uma atividade perfeitamente legal – até certo ponto.
Operações comerciais de spoofing, que começaram a oferecer serviços a indivíduos há cerca de sete anos, são fáceis de encontrar e custam por volta de US$ 10 por 60 minutos de tempo de chamada. Uma busca no Google por 'caller ID spoofing’ leva a muitos provedores de nomes como SpoofCard, cujo slogan é “Seja quem você quiser ser”.
Usuários registrados ligam para um número de acesso (ou usam um formulário num site), e inserem o número de telefone que estão chamando e o número que querem mostrar no identificador da pessoa que recebe a chamada. Em seguida, o serviço completa a ligação.
No final do ano passado, o presidente Barack Obama assinou a lei Truth in Caller ID , que proíbe o uso intencional de serviços de spoofing para fraudar, causar danos ou obter indevidamente qualquer coisa de valor. A multa cobrada é de até US$ 10 mil por um único ocorrido.
A nova lei, contudo, não é um grande desestímulo a pessoas já envolvidas em atividades ilegais. Afinal, durante anos, antes mesmo de haver serviços comerciais disponíveis, hackers criminosos já manipulavam informações do identificador de chamadas para convencer consumidores de que um banco estava ligando. Destinatários inconscientes dessas chamadas forneciam seus números de previdência social e se tornavam vítimas de furto de identidade.
Outra tática comum era a fraude do dever de júri, na qual criminosos programavam seus telefones para parecer que a chamada vinha de um tribunal local. Então eles diziam aos destinatários que estes teriam faltado à sua convocação para o dever de júri e deveriam pagar uma multa por cartão de crédito via telefone para evitar a prisão. Assim que possuíam os números do cartão, os ladrões partiam para uma série de gastos.
Considerando tudo isso, fica difícil imaginar um uso legítimo para o spoofing, mas existem pelo menos alguns. Pessoas que foram vítimas de violência doméstica podem não querer que ninguém saiba de onde estão ligando. Médicos usam o serviço quando ligam para pacientes de seus celulares, para evitar divulgar seu número pessoal. Pais também podem usar o serviço, caso tenham filhos que costumem ignorar suas chamadas.
Usar serviços de spoofing para escutar o correio de voz de outra pessoa provavelmente não é um uso muito legítimo. Por isso, os sistemas de correio de voz de celulares seriam mais protegidos contra o spoofing se pedissem uma senha sempre que o usuário ligasse, independente do número do telefone de origem. Mesmo assim, apenas a Verizon Wireless faz isso. Depois que um recente artigo no jornal 'The Boston Globe’ mostrou o grau de vulnerabilidade dos correios de voz à prática do spoofing, a AT&T Wireless aprimorou um pouco sua segurança. Embora ainda permita que os usuários escolham se querem inserir a senha em todas as ligações à caixa postal, o padrão é o uso de senha – o oposto da prática anterior. Nesse ponto, a Sprint é parecida com a AT&T, enquanto a T-Mobile permite que seus usuários usem a senha sempre que ligarem para o correio de voz, mas essa opção não é o padrão.
Por que a AT&T não obriga todos seus clientes a usar uma senha? “Nossa posição é que os clientes devem possuir a informação e as ferramentas para tomar a decisão certa para eles”, declarou o porta-voz da empresa, Mark Siegel.
Dworsky, do Consumer World, ex-advogado de proteção ao consumidor no estado de Massachusetts, leu o artigo no 'Globe’ e pensou se o sistema telefônico de alguma operadora de cartão de crédito reconheceria um cliente se ele estivesse ligando de um número específico.
Ele resolveu testar os sistemas telefônicos de diversas operadoras de cartões, e descobriu que com dois pedaços de dados de fácil obtenção – não direi exatamente quais – era possível ganhar acesso às informações da conta de cartão de crédito de clientes do Chase e do Bank of America.
O sistema telefônico do Chase fornece dados de compra individuais por categoria, deixando a pessoa que liga descobrir que houve uma compra de US$ 12 numa drogaria. O sistema do Bank of America costuma citar cada transação junto ao nome da loja, como um consultório médico ou site de compras.
Nos testes conduzidos por mim e Dworsky, a maioria dos dispositivos de spoofing completou as chamadas aos bancos, embora alguns sistemas parecessem bloquear esses números.
Quando as chamadas foram completadas, os serviços de spoofing conseguiram obter acesso aos sistemas do Chase em 100 por cento das vezes. O Bank of America bloqueou as chamadas feitas de alguns serviços de spoofing, aceitando outros. Nenhum dos bancos parece permitir que esses serviços sejam usados para aproveitar o crédito de um titular – como solicitar novos cartões ou somas em dinheiro – sem antes pedir mais informações ou falar com um atendente.
Chase e Bank of America poderiam resolver esses problemas pedindo por um pouco mais de informações pelo telefone – por exemplo, os últimos quatro dígitos do número de previdência social. Mas o Bank of America não quer fazer isso, pois os executivos da empresa não acreditam que seus clientes sejam a favor.
Paul Harwick, porta-voz do Chase, recusou-se a discutir a segurança do banco em maiores detalhes, mas afirmou que os riscos de spoofing nessa instância eram “mínimos”.
Dworsky não considerou satisfatórias as respostas de ambos os bancos. “Acho alarmante que praticamente qualquer um possa acessar suas informações de compras e pagamentos”, disse. “O pior, porém, é que esses dois grandes bancos parecem se importar tão pouco com a privacidade do cliente que não estão dispostos a evitar esse tipo de invasão – algo que poderia ser feito com muita facilidade”.
Até que os bancos comecem a pedir por um pouco mais de informações, o consumidor está sozinho nessa. Se você está numa situação pessoal ou profissional na qual alguém possa estar interessado em seus gastos, evite usar cartões de crédito do Chase ou do Bank of America.
Além disso, se você possui o hábito de jogar no lixo seus recibos de cartões, prefira picá-los em pedacinhos antes, já que alguns dados dali podem ser úteis a pessoas buscando explorar os sistemas automatizados das operadoras de cartões.
Quanto aos celulares, se você não for um usuário da Verizon, defina uma senha de caixa postal e use-a – simples assim.
A cada ano que passa, a tecnologia traz mais comodidades e prazeres a todos nós – mas também cria vulnerabilidades. Felizmente, o spoofing é bastante simples de combater quando você sabe que há pessoas fazendo-o. Mesmo assim, é uma pena que alguns provedores de serviços não pareçam querer ajudar nessa questão – nem que seja fazendo seus clientes gastarem alguns segundos a mais para se protegerem.
Por Ron Lieber
Fonte The New York Times News
