Criminosos burlam autenticação de dois fatores em novo golpe do WhatsApp

Os criminosos se passam por integrantes do Ministério da Saúde e usam recurso de verificação dupla para fazer novas vítimas.

Você com certeza já deve ter ouvido falar sobre autenticação em dois fatores, uma técnica simples que usa um segundo dispositivo para liberar o acesso à sua conta em um determinado serviço, garantindo mais proteção aos seus dados. Só que o método já está na mira de cibercriminosos e, segundo pesquisadores da Kaspersky, eles conseguiram criar uma forma de burlar esse sistema de segurança — mais precisamente no WhatsApp.

O golpe ainda envolve uma prática que ocorre no Brasil há cerca de dois anos: o roubo de contas do WhatsApp. E a forma como a fraude acontece é exatamente a mesma dos últimos 12 meses, com a diferença de que utiliza a pandemia e o novo coronavírus como tema central para enganar as vítimas.

Funciona assim: a vítima recebe uma ligação dos hackers, que por sua vez se apresentam como apresentam como representantes do Ministério da Saúde e perguntam se podem realizar uma pesquisa sobre Covid-19. Se o usuário tiver a autenticação em dois fatores habilitada, o aplicativo então envia um código de seis números para confirmar que é o dono do aparelho quem está tentando acessar o mensageiro.

O problema é que os criminosos se apoiam justamente na verificação dupla para armar uma emboscada. Eles informam a pessoa que, para confirmar a realização da pesquisa, ela precisa passar o código número recebido via SMS. Se a vítima não presta atenção na mensagem e informa o código, a conta então pode ser roubada.

Feito isso, o hacker encerra a ligação após se passar como membro do Ministério da Saúde. No mesmo instante, ele retorna a chamada para a vítima, mas agora fingindo ser do suporte do WhatsApp. Eles explicam que a empresa identificou uma atividade maliciosa na conta e orientam a pessoa a acessar seu e-mail para resetar o código de autenticação em duas etapas.

Note um detalhe importante: o e-mail enviado ao usuário é verdadeiro e vem do próprio WhatsApp. “Tanto a mensagem quanto o link para recuperar a dupla autenticação são legítimos, ou seja, foram enviados pela dona do aplicativo. O golpe se vale de engenharia social, forçando as vítimas a clicarem no link recebido por e-mail”, comenta Fabio Assolini, especialista da Kaspersky. Logo, muita gente pode acabar se confundindo e entregar seus dados a um cibercriminoso sem ter ideia disso.

Para que o golpe não deixe nenhuma pista de que se trata de uma fraude, os hackers ficam no telefone com a vítima durante todo o procedimento. Se o usuário prosseguir com o recadastro da dupla autenticação, a conta fica exposta — e nessa hora os criminosos agem, roubando o acesso da pessoa.

Como se proteger

Você viu que o golpe não envolve nenhum processo mais técnico ou que envolva o uso de softwares de invasão ou algo do tipo. É tudo uma questão de conversa e engenharia social. Isso não significa que a autenticação em dois fatores é falha. Pelo o contrário: é uma forma mais segura de proteger os seus dados. O que acontece é que hackers mal intencionados encontraram uma maneira de burlar esse recurso sem mudar sua concepção primária.

Portanto, não tem muito o que fazer: o único jeito para evitar cair nesse novo golpe é desconfiar de mensagens, empresas ou entidades que entram em contato solicitando dados pessoais. Nem o Ministério da Saúde, nem o WhatsApp fazem esse tipo de contato. Além disso, jamais compartilhe códigos de autenticação enviados por SMS, nem clique em links desconhecidos nas mensagens de texto ou e-mail.

Assine a newsletter do Gizmodo

Como ativar a autenticação em dois fatores no WhatsApp

Para quem ainda não ativou a verificação dupla no WhatsApp, eu recomendo que você o faça agora mesmo. É bem simples:

1. Abra o WhatsApp e vá no menu Configurações, no canto superior direito;
2. Entre em Conta e selecione Confirmação em duas etapas;
3. Crie um código de seis dígitos. Ele será usado como sua dupla autenticação;
4. Solicite que seu número seja retirado das listas de IDs de aplicativos que identificam chamadas. Eles podem ser usados por golpistas para encontrar seu número a partir do seu nome.

fique por dentro
das novidades giz Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas