Golpe no WhatsApp consegue burlar verificação em duas etapas
Identificado pela Kaspersky, empresa especializada em antivírus, o ataque geralmente se inicia com uma ligação
Um novo-velho golpe do WhatsApp acaba de ganhar novas formas de piorar a vida do usuário. O já conhecido sequestro de perfil agora consegue burlar a autenticação em duas etapas — processo importante na segurança das contas do aplicativo.
Identificado pela Kaspersky, empresa especializada em antivírus, o ataque geralmente se inicia com uma ligação, na qual o criminoso finge ser um representante do Ministério da Saúde fazendo uma pesquisa sobre a Covid-19.
Quando a conversa chega ao fim, ele solicita um código enviado por SMS para confirmar as respostas do indivíduo. E é aí que o golpe termina.
O código, na verdade, é a senha necessária para que o criminoso consiga baixar o WhatsApp da pessoa em outro celular. O segundo passo para burlar a autenticação em duas etapas, então, é ligar para a vítima fingindo, dessa vez, ser do suporte do WhatsApp.
Na segunda ligação, o criminoso afirma ter encontrado “uma atividade suspeita” na conta da pessoa e instrui o usuário a solicitar um novo código e clicar no link enviado por e-mail para que sua conta seja “desbloqueada”.
“Eles ficam na linha até que a pessoa clique no link e confirme na página. Isso dará poucos segundos para que o golpista use o código recebido na primeira ligação e assim ative com sucesso sua conta em outro aparelho. Tudo muito rápido”, diz Fabio Assolini, pesquisador de segurança da Kaspersky, em seu perfil no Twitter.
Depois disso, o mais comum é que o golpista comece a pedir transferências de dinheiro via PIX para os contatos da pessoa.
Em seu site, a Kaspersky dá as seguintes dicas para evitar que o usuário caia em um golpe:
- Seja cético em relação a ofertas e promoções excepcionalmente generosas;
- Verifique se mensagens recebidas são enviadas por fontes confiáveis;
- Não clique em links enviados de e-mails suspeitos, mensagens instantâneas ou redes sociais;
- Verifique a autenticidade dos sites visitados;
- Instale uma solução de segurança com base de dados atualizada e que possua conhecimento dos mais recentes recursos de spam e phishing.
Também desconfie de ligações feitas por “funcionários do WhatsApp”.
Em nota, o WhatsApp afirmou que “não permite o uso do seu serviço para fins ilícitos ou não autorizados, incluindo para violar direitos de terceiros ou passar-se por outra pessoa. A empresa oferece mecanismos para que seus usuários se protejam de golpes na plataforma e recomenda a ativação da confirmação em duas etapas, que funciona como uma camada extra de segurança para as contas. Esse recurso possibilita o cadastro de um e-mail (opcional) e de um PIN de seis dígitos (obrigatório), solicitado periodicamente para o usuário e necessário para confirmar o número no WhatsApp. Este PIN, assim como o código de verificação enviado por SMS, não deve ser compartilhado com outras pessoas, nem mesmo amigos próximos ou familiares. Também é importante ressaltar que o WhatsApp não entra em contato proativamente com nenhum usuário por telefone para solicitar qualquer tipo de recadastramento de senha ou da confirmação em duas etapas.”
