O golpe que rouba o WhatsApp de usuários alcançou um novo patamar. Especialistas da empresa de segurança Kaspersky detectaram um golpe que burla a principal forma de proteção contra o esquema. Por meio de engenharia social e uma solicitação ao suporte do WhatsApp, os golpistas conseguem ultrapassar a confirmação em duas etapas.

Como funciona o golpe? O roubo de WhatsApp assume várias formas: confirmação de um anúncio, convite para festa VIP e até clone da conta roubando a foto da vítima.

Para não cair no golpe, a recomendação sempre foi ativar a confirmação em duas etapas, em que o usuário cria uma senha pessoal que é solicitada no momento da instalação. Mas até mesmo esse recurso parece não ser mais suficiente.

O que mudou? Não há mudanças no início do esquema. A Kaspersky cita o caso de vítimas que receberam uma ligação de criminosos que se apresentam como representantes do Ministério da Saúde e perguntaram se podem realizar uma pesquisa sobre a Covid-19.

Toda a encenação tem um objetivo claro: fazer a pessoa passar o código de seis números que é enviado via SMS para “confirmar a realização da pesquisa”. Se a vítima não prestar atenção na mensagem e informar o código, a sua conta pode ser roubada.

Recadastro da dupla autenticação

A mudança ocorre quando o golpista se depara com a tela que solicita a senha da autenticação em duas etapas. Quando isso acontece, eles encerram a ligação da suposta pesquisa e ligam novamente para a vítima, mas, dessa vez, os criminosos se passam pelo suporte do aplicativo de mensagens, explicam que a empresa identificou uma atividade maliciosa na conta e orientam a vítima a acessar seu e-mail para realizar o recadastro da dupla autenticação.

golpe whatsapp two-step verification

Mensagem de e-mail legítima

O que mais surpreendeu os especialistas é que, de fato, a vítima recebe uma mensagem de e-mail legítima do aplicativo de mensagens com o título “Two-Step Verification Reset” (Resgate da Verificação em Duas Etapas – em tradução livre) com um link para desabilitar a proteção adicional.

Como isso é possível? Após análise, Fabio Assolini, pesquisador sênior de segurança da Kaspersky, destaca que a engenharia social dos criminosos atingiu um novo nível. “Tanto a mensagem quanto o link para recuperar a dupla autenticação são legítimos, ou seja, foram enviados pela dona do aplicativo. Da mesma forma que podemos solicitar a recuperação de uma senha em uma loja online, podemos pedir a recuperação da dupla autenticação do app de mensagens, caso a senha seja esquecida. O golpe se vale de engenharia social, forçando as vítimas a clicarem no link recebido por e-mail”, explica o especialista.

Assolini explica ainda que os criminosos permanecem na linha enquanto a vítima acessa o e-mail e o link e destaca que a página de destino, na verdade, realiza a desativação da autenticação em duas etapas. “A ideia aqui é permitir que a pessoa crie uma nova senha ao ativar a função novamente. Só que os criminosos aproveitam que a conta está desprotegida e usam o código temporário recebido na primeira ligação para realizar a instalação em um dispositivo deles e assim seguir com o golpe, entrando em contato com amigos e familiares para pedir dinheiro”, detalha o pesquisador de segurança.

Golpe WhatsApp uma mensagem foi enviada

Solução definitiva

A única maneira existente para que os usuários evitem cair neste novo golpe é desconfiar ou saber antecipadamente que ele existe. Segundo Assolini, apenas a empresa pode dar uma solução definitiva para isso e acabar com os golpes de account takeover. “Do ponto de vista da segurança, o aplicativo deve melhorar o processo de recuperação da dupla autenticação permitindo o recadastro na própria página da empresa, em vez de realizar a desativação. Desta forma, este esquema seria inviabilizado”, conclui.

Não caia no golpe

Enquanto o aplicativo não aprimora sua segurança, as dicas para evitar cair no golpe são:

  1. Ative a dupla autenticação (código de seis dígitos) no WhatsApp. Para criá-lo, siga os passos a seguir:
  •  Vá ao menu “configurações” no canto superior direito
  •  Entre na opção “Configurações”
  • Em seguida clique em “Conta”
  • Selecione “Confirmação em duas etapas
  • Crie um código de seis dígitos que será sua dupla autenticação.

2. Solicite que seu número seja retirado das listas de IDs de aplicativos que identificam chamadas; eles podem ser usados por golpistas para encontrar seu número a partir do seu nome.

3. Jamais desative a autenticação de dois fatores, a não ser que a pessoa esqueça a senha e faça esta solicitação.

Sobre a segurança da confirmação em duas etapas, o WhatsApp declarou à redação do 6 Minutos que: “o PIN, assim como o código de verificação enviado por SMS, não deve ser compartilhado com outras pessoas, nem mesmo amigos próximos ou familiares”. E acrescentou: “também é importante ressaltar que o WhatsApp não entra em contato proativamente com nenhum usuário por telefone para solicitar qualquer tipo de recadastramento de senha ou da confirmação em duas etapas”.

Quer receber notícias do 6 Minutos direto no seu celular? Estamos no Telegram (t.me/seisminutos) e no WhatsApp (https://6minutos.uol.com.br/whatsapp).