Brecha de segurança do Docomo Kouza

12 de setembro de 2020 Por Clayton Yugue

Olá~~~ Brasileiros de TI!


Logo na semana passada quando falamos sobre segurança, saiu no noticiário sobre o acesso indevido a contas bancárias usando o serviço “Docomo Kouza”, até parece que sabíamos que algo estava por vir.
Bem, só para esclarecer o que aconteceu para os que não entendem japonês.


A Docomo tem um serviço de pagamento por celular chamado de Docomo Kouza. Nele você registra sua conta bancária, de onde ele irá retirar uma quantia especificada por você, para poder ser usado como crédito no serviço.
O que aconteceu é que teve relatos de pessoas que tiveram dinheiro sendo retirado de suas contas pela Docomo Kouza, porém eles não tinham o serviço e nem sequer sabiam do que se tratava. Até a publicação desse post, o total em dinheiro que foi retirado ultrapassou os 10 milhões de yenes.

As vítimas dos furtos tiveram muita dificuldade com as autoridades, a Docomo e os bancos pois a polícia não sabe o que saber e ninguém querer se responsabilizar pelo ocorrido.
Como a conta do banco está, supostamente, vinculada à Docomo Kouza da vítima, não há nada de errado no ponto de vista de sistema.

Apesar de inicialmente a Docomo e os bancos afetados ficaram brincando de ping pong uns culpando os outros, a Docomo se pronunciou e assumiu falha em seu sistema.

No momento não é possível registrar no serviço até que sejam tomadas medidas, mas como existem muitos usuários, ele ainda está funcionando.


Entendendo a falha.

Para usufruir dos serviços online oferecidos pela Docomo, o usuário precisa criar uma conta “dAccount” para poder ativar os serviços como: dPoint, dBarai, Docomo kouza e assim por diante.
Para se criar a conta do dAccount, apenas um email válido é necessário, facilitando assim a criação de contas “falsas”.

Agora para ativar os serviços, os usuários precisam de fornecer dados pessoais como nome, data de nascimento, número de telefone, etc…
O que acontece aqui é que eles não exigem foto/cópia de documentos como my number ou carteira de habilitação para verificar os dados, isso resulta em uma falha grave em que qualquer pessoa em posse dos dados de terceiros, pode criar uma conta se passando por ela e assim retirar dinheiro direto da conta sem que a vítima perceba.

E os bancos?

Uma vez entendida a falha da Docomo, a pergunta da vez é: Como foi possível burlar a segurança dos bancos?

De todos 35 bancos que têm convênio com o Docomo Kouza, não foram todos afetados pois a segurança varia de banco para banco, dentre eles algum usam apenas uma senha numérica de 4 dígitos para a autenticação e vinculamento dos serviços, o que gerou muita crítica e que no ponto de vista de segurança é uma piada! O mínimo que se deve ter para instituições financeiras é verificação em duas etapas.

Com uma segurança tão fraca assim, é impressionante que ainda não tenha surgido mais golpes similares.

Mas tem mais!

Da maneira que este golpe foi aplicado, especula-se que além da segurança fraca da Docomo e os bancos, os dados do usuário já estavam em mãos dos golpistas por meio de “Phish”, que foi falado um pouco sobre na nossa live.

O phish ou phishing, consiste em o usuário receber um email, Sms ou MMS de alguma companhia ou serviço como: Apple, Amazon, Paypal, pedindo ou para que atualize os dados pelos mais diversos motivos, como no exemplo abaixo:

  1. Você recebe email do Paypal alegando que você deve atualizar os seus dados para continuar usando o serviço. No email tera um botão ou link que você deve clicar para fazer tal atualização.
  2. Você é levado para um site com as características visuals iguais ou muito parecidas com o site original, até o URL e parecido dando uma falsa segurança para o usuário.
  3. Ele pedirá para você inserir o seu email ou nome de usuário e senha para fazer login.
  4. Ao submeter, o golpista gravou o que você inseriu no banco de dados dele.
  5. Tendo em mão os seu login, ele poderá fazer compras pois tem suas credenciais.

Como no exemplo, acredita-se que as vítimas em algum momento inseriram os dados do banco deles em algum golpe de phishing sem mesmo saber.

Agora juntando tudo nós temos a receita perfeita para o golpe! Segurança fraca da Docomo, segurança falha dos bancos e dados obtidos anteriormente por phishing.

Como se prevenir?

Todo cuidado é pouco na internet, especialmente no Japão, um pais que tem tantos golpes quanto no Brasil, mas alguns cuidados básicos já fazem toda diferença.

Conferir remetente do email recebido

Sempre confira quem é o remetente! A Apple nunca irá enviar um email como “apple-account@8364945748684hdhdjgh383.com”. E o mesmo vale para qualquer outra companhia.
De qualquer maneira, jamais clique no botão ou link pois provavelmente você ira ser direcionado para um site de coleta de dados. Se necessário, digite você mesmo o URL e vá para o site em questão.

Lembrando que vários sites fazem verificação por email no qual é preciso clicar no botão ou link. Mas aqui nós estamos utilizando o serviço em tempo real, então sabemos bem quem enviou o email.

SMS ou MMS

Aqui a regra é não clique nos links, especialmente se não tem idéia do que se trata.
Recebi a seguinte mensagem 2 dias:

Veja bem, primeiro que esse URL não faz sentido nenhum, muito menos para entrega de produtos. Outra coisa, não fiz pedido de nada recentemente, então isso já invalida a mensagem.

Existem serviços que utilizam SMS como Yamato, DHL e outros, porém mesmo que você não siga os links nas mensagens o motorista irá ligar ou deixar o papel de “Fuzai” em sua caixa de correio. Por isso evite clicar em links por SMS/MMS.

Na dúvida pergunte.

Quase todos tem aquele amigo que manja de TI e que é confiável. Se achar algo estranho pergunte pra ele!

Agora na falta desse amigo você pode mandar uma mensagem para nós do TIJP que iremos aconselhar você da melhor maneira possível! Sabemos que não existe sistema 100% seguro, mas nós sempre podemos dificultar a vida dos golpistas.