O velho golpe do sequestro de perfil do WhatsApp ficou ainda mais sofisticado. Os criminosos desenvolveram táticas de manipulação para conseguir acessar a conta até de quem já habilitou a autenticação em duas etapas — que era o melhor jeito até então de evitar que seus contatos passassem dinheiro para o golpista, que fingia ser você.
Eles usam a chamada engenharia social, ou seja, não precisam quebrar as barreiras de segurança, mas dar um jeito de te convencer na lábia a fornecer dados que facilitam a invasão.
O ataque começa com uma ligação, em que o criminoso se apresenta como representante do Ministério da Saúde e simula uma pesquisa sobre a covid-19. Ao fim do contato, ele diz que o entrevistado precisa informar um código enviado por SMS para confirmar que a pesquisa foi realizada.
Essa é a primeira etapa do novo golpe: se a vítima divulgar o código e não tiver a autenticação em duas etapas habilitada, a conta pode ser roubada só com esse dado.
Quando o golpista percebe que precisa da senha da autenticação em duas etapas, adiciona uma segunda fase do golpe. Após encerrar a ligação, o criminoso entra em contato com a vítima novamente como se fosse da equipe de suporte do WhatsApp e informa que identificou uma atividade maliciosa na conta.
Em seguida, diz que enviou um email para que o usuário possa recadastrar a dupla autenticação.
A vítima recebe uma mensagem legítima do WhatsApp com o título “Two-Step Verification Reset” (Redefinição da Verificação em Duas Etapas). Ali, encontra um link que desabilita a proteção adicional.
“O golpe se vale de engenharia social, pois força a vítima a clicar no link recebido por email e fica aguardando na linha enquanto a vítima acessa o link que desativa temporariamente a proteção”, explica Fabio Assolini, pesquisador sênior de segurança da Kaspersky.
O golpista então aproveita que a conta está desprotegida e usa o código recebido na primeira ligação para instalar o perfil em outro celular e seguir com o golpe. Entra em contato com amigos e familiares da pessoa e começa a pedir dinheiro.
Como evitar ser vítima
Especialistas são unânimes em dizer que a ativação da autenticação em duas etapas continua a ser fundamental para não ser vítima de golpes na plataforma.
“Ela cria uma camada a mais de proteção”, diz Arthur Igreja, especialista em tecnologia e segurança digital. “Nesse golpe, o problema não é a autenticação em duas etapas, é a engenharia social, que leva a vítima a sabotar sua própria conta. Se deixar de usá-la, o usuário se expõe ainda mais.”
Para Daniel Cunha Barbosa, especialista em segurança da informação da ESET Brasil, é preciso conscientizar as pessoas sobre a manipulação para evitar o golpe, mostra como os criminosos agem faz com que mais gente desconfie das abordagens —que, obviamente, parecem legítimas.
“Os ataques de engenharia social abordam vulnerabilidades do comportamento humano e não há proteção para isso”, diz.