O WhatsApp é o aplicativo de mensagens para dispositivos móveis mais popular do mundo. De acordo com um levantamento da Statista, no fim do último ano, o Brasil já ocupava o segundo lugar no ranking com o maior número de usuários do app no mundo, somando mais de 99 milhões de contas, ficando atrás apenas da Índia, com cerca de 340 milhões, e à frente dos EUA, com 68 milhões.
Com o crescimento dessa popularidade vem o aumento da ação de cibercriminosos que buscam disseminar golpes em massa, atingindo um número cada vez maior de vítimas para ganhar grandes quantias em dinheiro. Os tipos de golpes também estão se tornando cada vez mais sofisticados, com técnicas de engenharia social para convencer as pessoas a compartilharem os códigos de segurança para autenticação em dois fatores e obter o controle das contas.
Quando cibercriminosos obtêm acesso à conta da vítima
Há formas conhecidas de golpes, como quando, após obter o número do telefone da vítima, o cibercriminoso faz uma chamada fingindo ser um funcionário de suporte técnico de um site conhecido para solicitar que a vítima compartilhe um código de confirmação via SMS; na verdade, o código foi enviado pelo próprio fraudador.
Se a vítima clicar no link recebido, permite que os cibercriminosos clonem a conta e procurem mais contatos, para enganá-los. Com isso, o usuário pode perder o controle do WhatsApp, enquanto o fraudador pode ler e enviar mensagens em seu nome.
Golpe de clonagem no WhatsApp acontece por desatenção ou desinformação da vítima.Fonte: agrafica
Ao usar uma conta do WhatsApp em um novo dispositivo, os grupos relacionados ao número são automaticamente transferidos para o aparelho. As mensagens enviadas não aparecem, mas o número de telefone de outros membros fica visível, o que provavelmente indica como os cibercriminosos escolhem mais vítimas.
Números de telefone são fáceis de encontrar
A maioria das pessoas não considera como informação sigilosa os números de telefone que o WhatsApp usa, portanto esses dados podem estar disponíveis nos perfis nas mídias sociais, ser enviados por diversos serviços, obtidos para ações de marketing ou mesmo incluídos em vazamentos de banco de dados e, nesse caso, vendidos na dark web. Até mesmo tentativas aleatórias para chegar a possíveis combinações de números podem gerar bons resultados aos golpistas.
Golpes se espalham no Brasil
Temas evidentes, como covid-19, têm sido explorados. No caso do coronavírus, os cibercriminosos se passam por profissionais de um instituto de pesquisa reconhecido, fazem perguntas e, no fim, solicitam o código SMS enviado ao celular da vítima, a fim de clonar o WhatsApp.
Entre outros golpes está aquele em que as vítimas são convidadas para uma festa. O criminoso finge ser uma pessoa famosa que a vítima segue no Instagram.
O criminoso finge ser uma pessoa famosa que a vítima segue no Instagram e a convida para uma festa
Os golpistas usam uma linguagem apropriada e às vezes até mencionam o nome de alguém que a pessoa conhece para convencê-la que necessitam confirmar sua presença, o que precisa ser feito com um número de verificação enviado via SMS, que, na realidade, trata-se do código de verificação de dois fatores do WhatsApp necessário para clonar o app da vítima.
O que fazer se sua conta for clonada?
Os usuários que suspeitam que sua conta do WhatsApp foi invadida devem:
- acessar o WhatsApp com o número do telefone e verificá-lo, inserindo o código recebido via SMS. Isso fará o logoff de outros aparelhos e devolverá ao proprietário o controle real da conta;
- falar com seus contatos por outros canais, informando-os sobre a suspeita e pedir que ignorem as mensagens que possam ser enviadas até que se resolva o problema;
- parar imediatamente de interagir com a pessoa e denunciá-la às autoridades locais se perceberem que estão lidando com uma fraude.
Como se proteger?
- Evite compartilhar seu número de telefone em plataformas públicas. Caso precise ser contatado, a recomendação é fornecer o endereço de e-mail.
- Ative a autenticação de dois fatores nas configurações da conta do WhatsApp. Dessa forma, o invasor também precisará inserir seu PIN 2FA, além do código SMS, dificultando muito o sequestro.
- Nunca compartilhe o código de autenticação do WhatsApp, nem mesmo com amigos e familiares. Ninguém deve solicitar um código de verificação de qualquer tipo via WhatsApp.
Se alguém afirma que precisa verificar uma de suas contas, é provável que seja uma fraude
Se você precisar verificar uma conta, faça-o diretamente na plataforma e nunca envie códigos de verificação pelo WhatsApp. Os códigos de autenticação de dois fatores devem ser tratados como senhas, o que significa que não devem ser publicados nem compartilhados.
Assim, se alguém entrar em contato com você e contar uma história que parece ser boa demais, desconfie: pode ser uma farsa.
***
Luis Corrons, colunista quinzenal do TecMundo, é Evangelista de Segurança da Avast. Sempre atento às últimas notícias sobre segurança cibernética, malware e darknet, é veterano da indústria de segurança e palestrante do setor. Também é repórter da WildList, membro do Conselho de Administração da Anti-Malware Testing Standards Organization (AMTSO) e membro do Conselho de Administração da Malicious URLs Tracking and Exchange (MUTE).
Categorias