Golpe é executado em duas etapas: a primeira visa roubar a credencial de ativação do WhatsApp e a segunda desabilitar a senha pessoal que serve de dupla autenticação
O golpe que rouba o WhatsApp de usuários (account takeover) está completando dois anos e vários temas foram usados: confirmação de um anúncio , convite para festa VIP e ele até evoluiu para o clone da conta roubando a foto da vítima . Para evitar o esquema, a única maneira é ativar a confirmação em duas etapas , em que o usuário cria uma senha pessoal que é solicitada no momento da instalação. E parece que finalmente este recurso se popularizou! Os especialistas da Kaspersky acabam de encontrar um esquema que visa burlar esta proteção, por meio de engenharia social e uma solicitação ao suporte do WhatsApp.
Não há mudanças no início do esquema. A vítima recebe uma ligação dos criminosos que se apresentam como representantes do Ministério da Saúde e perguntam se podem realizar uma pesquisa sobre a Covid-19. Toda a encenação tem um objetivo claro: fazer a pessoa passar o código de seis números que é enviado via SMS para “confirmar a realização da pesquisa”. Se a vítima não presta atenção na mensagem e informa o código, a conta pode ser roubada.
A mudança ocorre quando o golpista se depara com a tela que solicita a senha da autenticação em duas etapas. Quando isso acontece, eles encerram a ligação da suposta pesquisa e ligam novamente para a vítima, mas, dessa vez, os criminosos se passam pelo suporte do aplicativo de mensagens, explicam que a empresa identificou uma atividade maliciosa na conta e orientam a vítima a acessar seu e-mail para realizar o recadastro da dupla autenticação.
O que mais surpreendeu os especialistas da Kaspersky é que, de fato, a vítima recebe uma mensagem de e-mail legítima do aplicativo de mensagens com o título “Two-Step Verification Reset” (Resgate da Verificação em Duas Etapas – em tradução livre) com um link para desabilitar a proteção adicional. Após análise, Fabio Assolini, pesquisador sênior de segurança da Kaspersky, destaca que a engenharia social dos criminosos atingiu um novo nível.
“Tanto a mensagem quanto o link para recuperar a dupla autenticação são legítimos, ou seja, foram enviados pela dona do aplicativo. Da mesma forma que podemos solicitar a recuperação de uma senha em uma loja online, podemos pedir a recuperação da dupla autenticação do app de mensagens, caso a senha seja esquecida. O golpe se vale de engenharia social, forçando as vítimas a clicarem no link recebido por e-mail”, explica o especialista da Kaspersky.
Assolini finaliza explicando que os criminosos permanecem na linha enquanto a vítima acessa o e-mail e o link e destaca que a página de destino, na verdade, realiza a desativação da autenticação em duas etapas. “A ideia aqui é permitir que a pessoa crie uma nova senha ao ativar a função novamente. Só que os criminosos aproveitam que a conta está desprotegida e usam o código temporário recebido na primeira ligação para realizar a instalação em um dispositivo deles e assim seguir com o golpe, entrando em contato com amigos e familiares para pedir dinheiro”, detalha o pesquisador de segurança.
A única maneira existente para que os usuários evitem cair neste novo golpe é desconfiar ou saber antecipadamente que ele existe. Segundo Assolini, apenas a empresa pode dar uma solução definitiva para isso e acabar com os golpes de account takeover. “Do ponto de vista da segurança, o aplicativo deve melhorar o processo de recuperação da dupla autenticação permitindo o recadastro na própria página da empresa, em vez de realizar a desativação. Desta forma, este esquema seria inviabilizado”, conclui.
Para evitar ser vítima, a Kaspersky recomenda:
Ative a dupla autenticação (código de seis dígitos) no WhatsApp. Para cria-lo, siga os passos a seguir:
Vá ao menu “configurações” no canto superior direito
Entre na opção “Configurações”
Em seguida clique em “Conta”
Selecione “Confirmação em duas etapas
Crie um código de seis dígitos que será sua dupla autenticação.
Solicite que seu número seja retirado das listas de IDs de aplicativos que identificam chamadas; eles podem ser usados por golpistas para encontrar seu número a partir do seu nome.
Jamais desative a autenticação de dois fatores, a não ser que a pessoa esqueça a senha e faça esta solicitação.