O WhatsApp se tornou um dos mensageiros mais populares do mundo, com mais de 1 bilhão de usuários ativos diariamente. Mas dada a sua quase onipresença no dia a dia dos usuários e empresas, o quão seguro é a plataforma? O Facebook, que detém o WhatsApp, passou a garantir a criptografia de ponta a ponta no aplicativo desde 2017. Isso significa que o conteúdo trocado dentro do app não poderá ser acessado por um terceiro, incluindo aí, o próprio WhatsApp. Entretanto, o fato do WhatsApp selar sua criptografia não garante que os usuários estejam livres de ataques que possam sequestrar o aplicativo. Da mesma forma que o seu e-mail e outras redes sociais estão vulneráveis a ataques de engenharia social, o WhatsApp também pode – facilmente – ser sequestrado se você não estiver atento.
Na última terça-feira (4), o celular do ministro da Justiça, Sérgio Moro, foi invadido. Uma investigação da Polícia Federal para averiguar o incidente está em andamento. Entretanto, especialistas apontam que a invasão pode ter sido resultado de técnicas de engenharia social. Outro golpe comum no Brasil tem como alvo pessoas que estão vendendo alguma coisa na Internet. Uma vez que identificam um vendedor e o seu número de telefone celular, os criminosos enviam uma mensagem para a pessoa se passando pela plataforma de venda, pedindo para que informem um código que receberá via SMS.
“Quando a vítima responde à mensagem, o fraudador começa o processo de ativar o WhatsApp em um novo celular e o suposto código de verificação é, na verdade, o código de ativação da conta. Se ela não prestar atenção, acaba passando o número e tem seu WhatsApp roubado em minutos”, explica Fabio Assolini, analista sênior de segurança da Kaspersky Lab no Brasil.
Para saber mais sobre como esse tipo de engenharia social funciona e o que deve ser feito para evitar golpes semelhantes, conversamos com Assolini. Confira na entrevista abaixo.
itmidiacom – Uma série de clientes de serviços de anúncios online tem se queixado em redes sociais que depois de anunciarem e informar o número de seus telefones, eles receberam uma mensagem SMS para digitar um código e depois disso tiveram suas contas sequestradas. Como golpistas conseguem explorar essa brecha?
Fabio Assolini – Não há brecha nem no site nem no app. Este golpe é baseado 100% em engenharia social. Por padrão, os usuários tornam públicos o número de seus celulares e os golpistas se aproveitam disso – considere também que pode ser a primeira vez do usuário na plataforma de vendas, o que faz com que a pessoa não conheça os processos do site. O golpe se aproveita do mecanismo lícito que permite instalar o app em um novo dispositivo para realizar a fraude. Para que o criminoso consiga efetuar a instalação, ele precisa ter acesso ao código de ativação que é enviado via SMS pelo app – é aqui que o criminoso se aproveita do site de anúncio. Ele se aproveita que o usuário acabou de postar um anúncio (e seu número de celular também) para mandar uma mensagem com uma desculpa convincente e pegar o código de ativação do WhatsApp. Esta mensagem pode dizer que houve um erro na postagem ou que é apenas uma etapa de verificação, mas na realidade é apenas o criminoso instalando o app em um novo dispositivo. Caso o usuário não tem a dupla autenticação, sua conta será transferida para o celular do criminoso no momento que este informa o código recebido via SMS. Com o controle da conta, o criminoso pede um empréstimo urgente para as pessoas mais próximas da vítima (contatos recentes).
itmidiacom – A autenticação de dois fatores do WhatsApp teria evitado isso?
Assolini – Importante destacar que isso não chega a ser uma vulnerabilidade do WhatsApp em si. Além da atenção à mensagem via SMS, a única forma de evitar este golpe é a autenticação de dois fatores – uma vez que esse segundo número é mais ‘pessoal’ e teria que ser solicitado pelo cibercriminoso para concluir a instalação. Caso seja solicitado, a vítima deve conseguir perceber que a conversa não é com a plataforma de anúncios.
Destaco ainda que estes serviços existem há anos, mas não eram utilizados para fins maliciosos. Isso só mostra que temos que ficar atentos aos tipos de informações que tornamos públicas. Talvez o telefone fixo seja a informação menos valiosa neste caso. O e-mail não é uma opção, pois já existem golpes tentando iludir o anunciante dizendo que a compra foi efetuada e pedindo o envio do produto.
itmidiacom – Recentemente, a Kaspersky anunciou um golpe que envolve a clonagem de celulares depois que a vítima teve seu aparelho furtado. Como funciona este golpe e o que o usuário deve fazer para se precaver?
Assolini – Não é necessário ter o celular roubado ou perdido para ser vítima do SIM Swap. De forma resumida, o SIM Swap acontece quando um criminoso consegue reunir as informações necessárias para solicitar o transferência da linha para um novo dispositivo. Porém este método é muito complexo e ainda depende da capacidade do criminoso conseguir convencer a operadora. Por outro lado, sua abrangência é muito maior. Por exemplo, é possível efetuar operações financeiras em instituições que ainda usam a dupla autenticação via SMS. Outra característica relevante, o SIM Swap não depende de uma ação da vítima como no roubo do WhatsApp, porém a vítima percebe a fraude imediatamente.
O ponto principal sobre o SIM Swap é que a Anatel agora está prestando mais atenção nisso com o objetivo de diminuir a ocorrência do golpe, que já é complicado. Portanto os criminosos tiveram que procurar uma alternativa e foi assim que o roubo do WhatsApp passou a ser utilizado amplamente nas última semanas.
itmidiacom – Cibercriminosos têm criado técnicas cada vez mais sofisticadas para se aproveitarem de nossas distrações. E recentes vazamentos mostram que até mesmo as grandes companhias falham ao assegurar nossos dados. O que o usuário deve ter, principalmente, em mente para manter sua segurança em dia?
Assolini – Primeiro, a educação e conscientização são as melhores armas para que as pessoas possam estar protegidas. O desafio é gigante, uma vez que 35% dos brasileiros não sabem como proteger sua privacidade online. Após entenderem que isso é necessário, elas irão adotar práticas mais seguras e podem simplificar a vida usando uma solução de segurança. Hoje, 41% dos brasileiros não contam com nenhuma segurança em seu celular – o que os deixa ainda mais vulneráveis à ataques.
Assolini recomenda os seguintes passos para proteger seu número de telefone e seus dados pessoais
A Pure Storage está redefinindo sua estratégia de mercado com uma abordagem que abandona o…
A inteligência artificial (IA) consolidou-se como a principal catalisadora de novos unicórnios no cenário global…
À primeira vista, não parece grande coisa. Mas foi na pequena cidade de Pornainen, na…
O processo de transição previsto na reforma tributária terá ao menos um impacto negativo sobre…
O que antes parecia uma aliança estratégica sólida começa a mostrar rachaduras. Segundo reportagem do…
O Departamento de Defesa dos Estados Unidos firmou um contrato de US$ 200 milhões com…