Você com certeza já deve ter ouvido falar sobre autenticação em dois fatores, uma técnica simples que usa um segundo dispositivo para liberar o acesso à sua conta em um determinado serviço, garantindo mais proteção aos seus dados. Só que o método já está na mira de cibercriminosos e, segundo pesquisadores da Kaspersky, eles conseguiram criar uma forma de burlar esse sistema de segurança — mais precisamente no WhatsApp.

O golpe ainda envolve uma prática que ocorre no Brasil há cerca de dois anos: o roubo de contas do WhatsApp. E a forma como a fraude acontece é exatamente a mesma dos últimos 12 meses, com a diferença de que utiliza a pandemia e o novo coronavírus como tema central para enganar as vítimas.

Funciona assim: a vítima recebe uma ligação dos hackers, que por sua vez se apresentam como apresentam como representantes do Ministério da Saúde e perguntam se podem realizar uma pesquisa sobre Covid-19. Se o usuário tiver a autenticação em dois fatores habilitada, o aplicativo então envia um código de seis números para confirmar que é o dono do aparelho quem está tentando acessar o mensageiro.

O problema é que os criminosos se apoiam justamente na verificação dupla para armar uma emboscada. Eles informam a pessoa que, para confirmar a realização da pesquisa, ela precisa passar o código número recebido via SMS. Se a vítima não presta atenção na mensagem e informa o código, a conta então pode ser roubada.

Feito isso, o hacker encerra a ligação após se passar como membro do Ministério da Saúde. No mesmo instante, ele retorna a chamada para a vítima, mas agora fingindo ser do suporte do WhatsApp. Eles explicam que a empresa identificou uma atividade maliciosa na conta e orientam a pessoa a acessar seu e-mail para resetar o código de autenticação em duas etapas.

Note um detalhe importante: o e-mail enviado ao usuário é verdadeiro e vem do próprio WhatsApp. “Tanto a mensagem quanto o link para recuperar a dupla autenticação são legítimos, ou seja, foram enviados pela dona do aplicativo. O golpe se vale de engenharia social, forçando as vítimas a clicarem no link recebido por e-mail”, comenta Fabio Assolini, especialista da Kaspersky. Logo, muita gente pode acabar se confundindo e entregar seus dados a um cibercriminoso sem ter ideia disso.

Para que o golpe não deixe nenhuma pista de que se trata de uma fraude, os hackers ficam no telefone com a vítima durante todo o procedimento. Se o usuário prosseguir com o recadastro da dupla autenticação, a conta fica exposta — e nessa hora os criminosos agem, roubando o acesso da pessoa.

Como se proteger

Você viu que o golpe não envolve nenhum processo mais técnico ou que envolva o uso de softwares de invasão ou algo do tipo. É tudo uma questão de conversa e engenharia social. Isso não significa que a autenticação em dois fatores é falha. Pelo o contrário: é uma forma mais segura de proteger os seus dados. O que acontece é que hackers mal intencionados encontraram uma maneira de burlar esse recurso sem mudar sua concepção primária.

Portanto, não tem muito o que fazer: o único jeito para evitar cair nesse novo golpe é desconfiar de mensagens, empresas ou entidades que entram em contato solicitando dados pessoais. Nem o Ministério da Saúde, nem o WhatsApp fazem esse tipo de contato. Além disso, jamais compartilhe códigos de autenticação enviados por SMS, nem clique em links desconhecidos nas mensagens de texto ou e-mail.

Assine a newsletter do Gizmodo

Como ativar a autenticação em dois fatores no WhatsApp

Para quem ainda não ativou a verificação dupla no WhatsApp, eu recomendo que você o faça agora mesmo. É bem simples:

1. Abra o WhatsApp e vá no menu Configurações, no canto superior direito;
2. Entre em Conta e selecione Confirmação em duas etapas;
3. Crie um código de seis dígitos. Ele será usado como sua dupla autenticação;
4. Solicite que seu número seja retirado das listas de IDs de aplicativos que identificam chamadas. Eles podem ser usados por golpistas para encontrar seu número a partir do seu nome.