O golpe que rouba o WhatsApp (account takeover)
está completando dois anos. Como a criatividade é o ponto forte dos cibercriminosos,
o modus operandi varia — da confirmação
de anúncios a convite
para festa VIP, passando pela clonagem da conta mediante o roubo da
foto da vítima (o golpe começa com o envio da mensagem “troquei meu celular”,
seguida de algumas informações para convencer o contato de que aquela situação
é real)
A melhor maneira de se prevenir contra essa maracutaia é usar a dupla autenticação, na qual você cria uma senha pessoal que é solicitada no momento da instalação do aplicativo em outro aparelho. Mas a bandidagem já encontrou uma modo de burlar essa proteção. Acompanhe.
Primeiro, o vigarista liga para a vítima e, dizendo ser do Ministério da Saúde, pede a ela que responda a uma pesquisa sobre a Covid. O objetivo,
naturalmente, é fazer com que a pessoa informe o código de seis dígitos que lhe enviado via SMS (a pretexto de “confirmar a realização da pesquisa” ou mediante outra desculpa qualquer).
Com a dupla autenticação habilitada, mesmo que a vítima informe o código em
questão o fraudador precisa da senha adicional (que é criada no momento da ativação da proteção adicional). Então, caso se depare com a tela em questão (vide imagem), o criminoso encerra a chamada da suposta pesquisa e liga em seguida, mas desta feita dizendo ser do suporte do aplicativo. Nesse
segundo contato, ele alega que uma atividade maliciosa foi identificada e orienta a vítima a acessar seu email para refazer o recadastro da dupla
autenticação. E é aí que a informação cai nas mãos do golpista.
A vítima recebe uma mensagem de email
legítima do WhatsApp, com o título “Two-Step Verification
Reset” (Resgate da Verificação em Duas Etapas), com um link para desabilitar a
proteção adicional. Em outras palavras, tanto a mensagem quanto o link para recuperar a dupla
autenticação são verdadeiros, ou seja, foram enviados mesmo pelo WhatsApp. O pulo do gato é que o vigarista se vale de engenharia
social para induzir a vítima a clicar no link recebido por email.
O criminoso permanece na linha enquanto a vítima
acessa o email e o link, cuja página de destino desativa a dupla autenticação —
para que a pessoa crie uma nova senha ao ativar a função novamente.
Aproveitando que a conta está desprotegida, o fiduma usa o código temporário que lhe foi informado pela vítima na primeira ligação e “transfere” a conta para seu próprio aparelho, a
partir do qual entra em contato com amigos e familiares da vítima para pedir
dinheiro.
A única maneira de evitar esse novo golpe é
desconfiar ou saber antecipadamente que ele existe, pelo menos até que o Facebook,
que é dono do WhatsApp, aprimore o processo de recuperação da dupla
autenticação, permitindo que o recadastramento seja feito na própria página da empresa, em vez de simplesmente realizar a desativação.
Para habilitar a dupla autenticação em smartphones com sistema Android, abra o menu do WhatsApp tocando
no ícone dos três pontinhos (no canto superior direito da tela), toque em Configurações
> Conta. No menu que se abre em seguida, selecione a opção Verificação
em duas etapas, ative-a, digite uma senha (PIN) de seis
dígitos e confirme na próxima tela. Por fim, adicione um endereço de email
de segurança.
Observação: É importante que você
utilize um endereço de email vinculado à conta do WhatsApp para
ter uma garantia a mais quando for registrar o número em outro aparelho. Além
disso, se você esquecer os números que escolheu para o PIN, poderá
utilizar o email escolhido para receber o código que lhe garantirá acesso ao
aplicativo.
No iPhone abra o WhatsApp e, na
barra inferior, toque em Ajustes, vá em Conta,
selecione Verificação em duas etapas, toque em Ativar,
digite o PIN, confirme e informe o email de segurança.
Se tiver alguma dificuldade em seguir este roteiro,
sugiro assistir a este
vídeo.
