olha digital -15/05/2021 13:07
Os golpes para roubar uma conta do WhatsApp (tecnicamente conhecidos
como “Account Takeover”) estão completando dois anos e vários
temas já foram usados para enganar as vítimas.
Até agora, a única maneira de evitá-los era ativar a confirmação em duas etapas (ou dupla autenticação),
que usa uma senha numérica criada pelo usuário e solicitada durante uma
reinstalação do app.
Mas segundo os especialistas da Kaspersky, os criminosos acabam de encontrar uma forma de
burlar esta proteção, combinando engenharia social e uma solicitação ao suporte
do WhatsApp.
Não há mudanças no início do golpe. A vítima recebe uma ligação
dos criminosos que se apresentam como representantes do Ministério da Saúde e
perguntam se podem realizar uma pesquisa sobre a Covid-19.
Toda a encenação tem um objetivo claro: fazer a pessoa
passar o código de seis dígitos que é enviado via SMS para “confirmar a
realização da pesquisa”.
Se a vítima não presta atenção à mensagem e informa o
código, a conta pode ser roubada. A mudança ocorre quando os golpistas se
deparam com uma conta que solicita a senha da autenticação em duas etapas.
Quando isso acontece, eles encerram a ligação da suposta
pesquisa e ligam novamente para a vítima. Mas, desta vez, se passam pelo
suporte do aplicativo e dizem que a empresa identificou uma atividade maliciosa
na conta, e que a vítima deve acessar seu e-mail para realizar o recadastro da
dupla autenticação.
O que mais surpreendeu os especialistas da Kaspersky é que,
de fato, a vítima recebe uma mensagem de e-mail legítima do WhatsApp com o título
“Two-Step Verification Reset” (Resgate da Verificação em Duas Etapas – em
tradução livre) com um link para desabilitar a proteção adicional.
“Tanto a mensagem quanto o link para recuperar a dupla
autenticação são legítimos, ou seja, foram enviados pelo WhatsApp. Da mesma
forma que podemos solicitar a recuperação de uma senha em uma loja online,
podemos pedir a recuperação da dupla autenticação do app de mensagens, caso a
senha seja esquecida. O golpe se vale de engenharia social, forçando as vítimas
a clicarem no link recebido por e-mail”, explica o especialista da Kaspersky.
Assolini finaliza explicando que os criminosos permanecem na
linha enquanto a vítima acessa o e-mail e o link e destaca que a página de
destino, na verdade, realiza a desativação da autenticação em duas etapas.
“A ideia aqui é permitir que a pessoa crie uma nova senha ao
ativar a função novamente. Só que os criminosos aproveitam que a conta está
desprotegida e usam o código temporário recebido na primeira ligação para
realizar a instalação em um dispositivo deles e assim seguir com o golpe,
entrando em contato com amigos e familiares da vítima para pedir dinheiro”,
detalha o pesquisador de segurança.
A única forma de evitar cair neste novo golpe é desconfiar
ou saber antecipadamente que ele existe. Segundo Assolini, apenas o WhatsApp
pode dar uma solução definitiva para isso e acabar com os golpes de sequestro
de contas.
“Do ponto de vista da segurança, o aplicativo deve melhorar
o processo de recuperação da dupla autenticação permitindo o recadastro na
própria página da empresa, em vez de realizar a desativação. Desta forma, este
esquema seria inviabilizado”, conclui.
Para se proteger, Assolini recomenda que os usuários ativem
a autenticação em dois fatores e jamais desativem este recurso, a não ser que
esqueçam a senha e tenham tomado esta decisão por conta própria.