São Paulo, Brasil – Os cibercriminosos estão roubando contas do WhatsApp associando um número a outro telefone e depois obtendo a senha de verificação que chega por SMS. A ESET, uma empresa líder em detecção proativa de ameaças, detalha como esse roubo é realizado e por que a autenticação em duas etapas é a melhor maneira de evitá-lo.
Os golpistas primeiro abrem o aplicativo em outro telefone com o número da vítima e, em seguida, tentam enganá-la usando técnicas de engenharia social para obter o código de verificação.
Mensagem do WhatsApp que a Guarda Civil espanhola publicou como exemplo de como tentam obter o código de verificação.
Uma vez que o obtém, acessam a conta e assumem o controle. Neste ponto, a única maneira de evitar o roubo é ter ativada a autenticação em duas etapas. Por isso, é recomendado ter essa opção ativada sempre.
Mensagem que chega à vítima assim que os golpistas registram e associam seu número de telefone a uma conta do WhatsApp em outro telefone.
Uma vez que já roubaram a conta, eles se comunicam em nome da vítima com seus contatos e realizam outros tipos de golpes, como solicitar dinheiro.
Cuide da sua conta com algumas dicas para prevenir ataques de sequestro de conta do WhatsApp:
Primeiro, desative a visualização prévia de mensagens SMS. Quando as pessoas usam a verificação em duas etapas (também conhecida como autenticação de dois fatores) sem um aplicativo de autenticação, elas tendem a receber códigos enviados por SMS, mas se esses códigos puderem ser vistos em uma tela bloqueada, não funcionam como uma camada adicional de segurança, se o usuário não estiver atento ao telefone.
Portanto, em segundo lugar, nunca se deve perder de vista o telefone ou dispositivo. Inúmeras pessoas adormecem no trem com seus telefones à vista ou até mesmo ao ir ao banheiro em restaurantes, deixam seus telefones rodeados por estranhos ou mesmo nos locais de trabalho.
Para alguns dispositivos móveis, também está disponível a opção de Passkeys, que substitui a chave de verificação por SMS pela impressão digital, reconhecimento facial ou pelo próprio PIN do celular.
Por fim, a melhor forma de proteger uma conta é ativar a verificação em duas etapas no WhatsApp, pois é simples de configurar e evitará que esse ataque seja bem-sucedido. Abaixo, é mostrado o processo de como fazê-lo:
Com o aplicativo aberto, vá para Configurações/Conta/Verificação em duas etapas e clique em Ativar. Em seguida, insira um código de seis dígitos e memorize-o.
Configuração da verificação em duas etapas no WhatsApp.
A seguir, insira o endereço de e-mail como uma camada adicional de segurança. Por fim, será exibida a confirmação da verificação em duas etapas configurada no telefone, o que significa que será muito mais difícil para alguém sequestrar a conta ou transferir as mensagens para outro dispositivo.
Verificação em duas etapas do WhatsApp para prevenir o roubo de conta.
Uma vez configurada e como uma forma de ajudar a lembrar o número, ao abrir o WhatsApp, ocasionalmente e de forma aleatória, o aplicativo pedirá para inserir o PIN. Isso não acontecerá toda vez que abrir, então não deve ser um inconveniente.
"O roubo de contas do WhatsApp não é algo novo, na verdade, é um flagelo que está cada vez mais presente na América Latina. O exemplo do México é paradigmático: nos dois primeiros meses de 2024, o sequestro de contas do WhatsApp cresceu mais de 650% em comparação com os mesmos meses do ano anterior. Mas não é o único", comenta Fabiana Ramirez, Pesquisadora de Segurança da Informação da ESET América Latina.
A seguir, a ESET revisa alguns exemplos específicos que ocorreram recentemente:
Na Colômbia, os golpistas enviavam mensagens através do WhatsApp, fingindo serem suporte técnico do aplicativo para obter o código de verificação de seis dígitos e roubar a conta. Se a pessoa enviasse esse código, o golpista poderia assumir o controle da conta e ter acesso aos contatos e a parte do histórico de conversas.
Na Argentina, durante a pandemia, usaram como pretexto os turnos de vacinação contra a Covid-19: foram registradas denúncias em que as pessoas alertavam serem contatadas por um telefone com a imagem do Ministério da Saúde da Província de Buenos Aires. Os golpistas solicitavam à vítima que enviasse um código de seis dígitos que receberia por SMS. Supostamente, esse código era para acessar o turno de vacinação, no entanto, trata-se do código que o WhatsApp envia para o número de telefone associado ao aplicativo para verificar que o verdadeiro proprietário da linha está tentando abrir uma conta do WhatsApp em um telefone.
Outro exemplo é o de Honduras, onde circulou uma fraude na qual ofereciam dólares a um preço inferior ao preço de venda autorizado pelo Banco Central do país. A mensagem, enviada por um número de telefone verdadeiro de algum conhecido que já havia sido hackeado anteriormente, tornava muito mais fácil cair na armadilha.
Para saber mais sobre segurança da informação, visite o portal de notícias ESET. A ESET também convida você a conhecer o Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir, acesse este link.