O velho golpe do sequestro de perfil do WhatsApp ficou ainda mais sofisticado. Os criminosos desenvolveram táticas de manipulação para conseguir acessar a conta até de quem já habilitou a autenticação em duas etapas, que era o melhor jeito até então de evitar que seus contatos passassem dinheiro para o golpista, que fingia ser você.

Eles usam a chamada engenharia social, ou seja, não precisam quebrar as barreiras de segurança, mas dar um jeito de te convencer na lábia a fornecer dados que facilitam a invasão

O ataque começa com uma ligação, em que o criminoso se apresenta como representante do Ministério da Saúde e simula uma pesquisa sobre a covid-19. Ao fim do contato, ele diz que o entrevistado precisa informar um código enviado por SMS para confirmar que a pesquisa foi realizada.

Essa é a primeira etapa do novo golpe: se a vítima divulgar o código e não tiver a autenticação em duas etapas habilitada, a conta pode ser roubada só com esse dado.

Quando o golpista percebe que precisa da senha da autenticação em duas etapas, adiciona uma segunda fase do golpe. Após encerrar a ligação, o criminoso entra em contato com a vítima novamente como se fosse da equipe de suporte do WhatsApp e informa que identificou uma atividade maliciosa na conta.

Em seguida, diz que enviou um email para que o usuário possa recadastrar a dupla autenticação.

A vítima recebe uma mensagem legítima do WhatsApp com o título “Two-Step Verification Reset” (Redefinição da Verificação em Duas Etapas). Ali, encontra um link que desabilita a proteção adicional.

“O golpe se vale de engenharia social, pois força a vítima a clicar no link recebido por email e fica aguardando na linha enquanto a vítima acessa o link que desativa temporariamente a proteção”, explica Fabio Assolini, pesquisador sênior de segurança da Kaspersky.

O golpista então aproveita que a conta está desprotegida e usa o código recebido na primeira ligação para instalar o perfil em outro celular e seguir com o golpe. Entra em contato com amigos e familiares da pessoa e começa a pedir dinheiro.

Como evitar ser vítima

Especialistas são unânimes em dizer que a ativação da autenticação em duas etapas continua a ser fundamental para não ser vítima de golpes na plataforma.

“Ela cria uma camada a mais de proteção”, diz Arthur Igreja, especialista em tecnologia e segurança digital. “Nesse golpe, o problema não é a autenticação em duas etapas, é a engenharia social, que leva a vítima a sabotar sua própria conta. Se deixar de usá-la, o usuário se expõe ainda mais.”

Para Daniel Cunha Barbosa, especialista em segurança da informação da ESET Brasil, é preciso conscientizar as pessoas sobre a manipulação para evitar o golpe, mostra como os criminosos agem faz com que mais gente desconfie das abordagens que, obviamente, parecem legítimas.

“Os ataques de engenharia social abordam vulnerabilidades do comportamento humano e não há proteção para isso”, diz.

Cuidado com vinganças

Nesta semana, uma usuária do WhatsApp enganou um golpista que havia sequestrado a conta de uma amiga. Ao ser abordada pelo criminoso, ela disse que poderia transferir o dinheiro que ele pedia, mas precisava de crédito no celular. Ele fez a recarga e só percebeu que tinha sido enganado quando a vítima o informou.

Igreja alerta que a vingança pode ser perigosa. “Apesar de ser um crime digital, é equivalente a pensar que você foi assaltado na rua e foi atrás do ladrão. Não é seguro. E, dependendo do que for feito, a vítima pode estar cometendo um crime aplicando um golpe”, pondera.

Barbosa concorda. “Não sabemos quem realmente está do outro lado. Pode ser só algum oportunista tentando fazer dinheiro com alguma técnica que aprendeu na internet, mas pode ser um criminoso real, com informações da vítima, que pode abordá-la de formas bem mais nocivas.”

Como ativar a autenticação em duas etapas

Segundo Assolini, o WhatsApp poderia melhorar o processo de recuperação da autenticação em duas etapas para dificultar esse tipo de ataque. Uma opção seria permitir o recadastro na própria página da empresa, em vez de desativar a proteção.

Enquanto isso não acontece, a recomendação é criar cada vez mais camadas de proteção. Para criar o código da autenticação em duas etapas no WhatsApp, siga os passos:

  • vá ao menu que fica nos três pontinhos no canto superior direito do app;
  • entre em “Configurações”;
  • clique em “Conta”;
  • selecione “Confirmação em duas etapas”;
  • crie o código que será usado para a dupla autenticação