Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Logo ITMidia
Logo ComputerWorld
Logo PCWorld
Logo CIO
Logo ITForum
Salvar em Nova pasta de favoritos

+

Criar pasta
Últimos favoritos Ver todos
Últimas notícias do conteúdo : Ver todos
Como cibercriminosos brasileiros conseguem sequestrar o seu WhatsApp
Como cibercriminosos brasileiros conseguem sequestrar o seu WhatsApp
Home > Internet

Como cibercriminosos brasileiros conseguem sequestrar o seu WhatsApp

Fique atento. Um anúncio ansioso e inofensivo na Internet pode ser a porta de entrada para golpes financeiros e muita dor de cabeça

Carla Matsu

09/06/2019 às 12h48

Foto: Shutterstock

O WhatsApp se tornou um dos mensageiros mais populares do mundo, com mais de 1 bilhão de usuários ativos diariamente. Mas dada a sua quase onipresença no dia a dia dos usuários e empresas, o quão seguro é a plataforma? O Facebook, que detém o WhatsApp, passou a garantir a criptografia de ponta a ponta no aplicativo desde 2017. Isso significa que o conteúdo trocado dentro do app não poderá ser acessado por um terceiro, incluindo aí, o próprio WhatsApp. Entretanto, o fato do WhatsApp selar sua criptografia não garante que os usuários estejam livres de ataques que possam sequestrar o aplicativo. Da mesma forma que o seu e-mail e outras redes sociais estão vulneráveis a ataques de engenharia social, o WhatsApp também pode - facilmente - ser sequestrado se você não estiver atento.

Na última terça-feira (4), o celular do ministro da Justiça, Sérgio Moro, foi invadido. Uma investigação da Polícia Federal para averiguar o incidente está em andamento. Entretanto, especialistas apontam que a invasão pode ter sido resultado de técnicas de engenharia social. Outro golpe comum no Brasil tem como alvo pessoas que estão vendendo alguma coisa na Internet. Uma vez que identificam um vendedor e o seu número de telefone celular, os criminosos enviam uma mensagem para a pessoa se passando pela plataforma de venda, pedindo para que informem um código que receberá via SMS.

“Quando a vítima responde à mensagem, o fraudador começa o processo de ativar o WhatsApp em um novo celular e o suposto código de verificação é, na verdade, o código de ativação da conta. Se ela não prestar atenção, acaba passando o número e tem seu WhatsApp roubado em minutos", explica Fabio Assolini, analista sênior de segurança da Kaspersky Lab no Brasil.

Para saber mais sobre como esse tipo de engenharia social funciona e o que deve ser feito para evitar golpes semelhantes, conversamos com Assolini. Confira na entrevista abaixo.

itmidiacom - Uma série de clientes de serviços de anúncios online tem se queixado em redes sociais que depois de anunciarem e informar o número de seus telefones, eles receberam uma mensagem SMS para digitar um código e depois disso tiveram suas contas sequestradas. Como golpistas conseguem explorar essa brecha?

Fabio Assolini - Não há brecha nem no site nem no app. Este golpe é baseado 100% em engenharia social. Por padrão, os usuários tornam públicos o número de seus celulares e os golpistas se aproveitam disso – considere também que pode ser a primeira vez do usuário na plataforma de vendas, o que faz com que a pessoa não conheça os processos do site. O golpe se aproveita do mecanismo lícito que permite instalar o app em um novo dispositivo para realizar a fraude. Para que o criminoso consiga efetuar a instalação, ele precisa ter acesso ao código de ativação que é enviado via SMS pelo app – é aqui que o criminoso se aproveita do site de anúncio. Ele se aproveita que o usuário acabou de postar um anúncio (e seu número de celular também) para mandar uma mensagem com uma desculpa convincente e pegar o código de ativação do WhatsApp. Esta mensagem pode dizer que houve um erro na postagem ou que é apenas uma etapa de verificação, mas na realidade é apenas o criminoso instalando o app em um novo dispositivo. Caso o usuário não tem a dupla autenticação, sua conta será transferida para o celular do criminoso no momento que este informa o código recebido via SMS. Com o controle da conta, o criminoso pede um empréstimo urgente para as pessoas mais próximas da vítima (contatos recentes).

itmidiacom - A autenticação de dois fatores do WhatsApp teria evitado isso? 

Assolini - Importante destacar que isso não chega a ser uma vulnerabilidade do WhatsApp em si. Além da atenção à mensagem via SMS, a única forma de evitar este golpe é a autenticação de dois fatores - uma vez que esse segundo número é mais ‘pessoal’ e teria que ser solicitado pelo cibercriminoso para concluir a instalação. Caso seja solicitado, a vítima deve conseguir perceber que a conversa não é com a plataforma de anúncios.

Destaco ainda que estes serviços existem há anos, mas não eram utilizados para fins maliciosos. Isso só mostra que temos que ficar atentos aos tipos de informações que tornamos públicas. Talvez o telefone fixo seja a informação menos valiosa neste caso. O e-mail não é uma opção, pois já existem golpes tentando iludir o anunciante dizendo que a compra foi efetuada e pedindo o envio do produto.

itmidiacom - Recentemente, a Kaspersky anunciou um golpe que envolve a clonagem de celulares depois que a vítima teve seu aparelho furtado. Como funciona este golpe e o que o usuário deve fazer para se precaver?

Assolini - Não é necessário ter o celular roubado ou perdido para ser vítima do SIM Swap. De forma resumida, o SIM Swap acontece quando um criminoso consegue reunir as informações necessárias para solicitar o transferência da linha para um novo dispositivo. Porém este método é muito complexo e ainda depende da capacidade do criminoso conseguir convencer a operadora. Por outro lado, sua abrangência é muito maior. Por exemplo, é possível efetuar operações financeiras em instituições que ainda usam a dupla autenticação via SMS. Outra característica relevante, o SIM Swap não depende de uma ação da vítima como no roubo do WhatsApp, porém a vítima percebe a fraude imediatamente.

O ponto principal sobre o SIM Swap é que a Anatel agora está prestando mais atenção nisso com o objetivo de diminuir a ocorrência do golpe, que já é complicado. Portanto os criminosos tiveram que procurar uma alternativa e foi assim que o roubo do WhatsApp passou a ser utilizado amplamente nas última semanas.

itmidiacom - Cibercriminosos têm criado técnicas cada vez mais sofisticadas para se aproveitarem de nossas distrações. E recentes vazamentos mostram que até mesmo as grandes companhias falham ao assegurar nossos dados. O que o usuário deve ter, principalmente, em mente para manter sua segurança em dia?

Assolini - Primeiro, a educação e conscientização são as melhores armas para que as pessoas possam estar protegidas. O desafio é gigante, uma vez que 35% dos brasileiros não sabem como proteger sua privacidade online. Após entenderem que isso é necessário, elas irão adotar práticas mais seguras e podem simplificar a vida usando uma solução de segurança. Hoje, 41% dos brasileiros não contam com nenhuma segurança em seu celular – o que os deixa ainda mais vulneráveis à ataques.

Como se proteger

Assolini recomenda os seguintes passos para proteger seu número de telefone e seus dados pessoais

  • Evite a autenticação 2FA via SMS: Quando possível, os usuários devem evitar usar a autenticação de dois fatores via SMS, optando por outros métodos, como a geração de uma autenticação única (OTP) via aplicativo móvel (como o Google Authenticator) ou o uso de um token físico. Infelizmente, alguns serviços online não apresentam alternativas. Nesse caso, o usuário precisa estar ciente dos riscos.
  • Camada extra de segurança: Para evitar o sequestro do WhatsApp, os usuários devem ativar a dupla autenticação usando um PIN de seis dígitos no dispositivo, pois isso adiciona uma camada extra de segurança que não é tão fácil de burlar.
  • Seja discreto com o seu número de telefone: a Kaspersky também orienta usuários que solicitem que seus números sejam retirado das listas de IDs de aplicativos que identificam chamadas; eles podem ser usados por golpistas para encontrar seu número a partir do seu nome.

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail
Vai um cookie?

A IT Mídia usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Ir para o site