Hackers se aproveitam de informações públicas para convencer vítimas a informar o código de ativação do aplicativo.

O blog Segurança Digital recebeu relatos de leitores que elucidam algumas das técnicas utilizadas por golpistas para conseguir convencer as vítimas a informar o número de confirmação do WhatsApp e com isso ativar o aplicativo em outro telefone, roubando a conta para tentar aplicar golpes em contatos.

Os criminosos podem se aproveitar de informações públicas, como anúncios na web, e enviar mensagens falsas em nome dos serviços. Isso faz a vítima pensar que um serviço que ela de fato usa está solicitando alguma verificação de conta. Porém, nesse momento, o criminoso já iniciou o processo de ativação do WhatsApp em outro celular.

O diferencial das fraudes realizadas dessa maneira é que elas não envolvem o roubo da própria linha de telefonia celular, apenas o WhatsApp.

Para ativar o WhatsApp em um celular, basta informar o código recebido por torpedo SMS. Em uma ativação regular, o torpedo é recebido no mesmo celular em que o WhatsApp será ativado. Contudo, o WhatsApp também pode ser ativado em outro aparelho — inclusive um aparelho sem chip de telefonia — desde que seja digitado o código enviado ao número informado na ativação.

Os criminosos iniciam o processo de ativação informando o número de suas vítimas. Ao mesmo tempo, eles podem telefonar para a vítima ou enviar mensagens SMS informando sobre alguma verificação ou atualização de cadastro. Quando a vítima checar sua caixa de mensagens, lá estará o código de ativação do WhatsApp.

Se esse número for informado ao golpista, seja por SMS ou outro meio, ele conseguirá finalizar a ativação e o WhatsApp será desativado no telefone da vítima.

Verificação em duas etapas 'inimiga'

Para coibir golpes que envolvem o roubo da linha telefônica, o WhatsApp criou a verificação em duas etapas. Quando ela está configurada, é preciso digitar uma senha para confirmar a ativação e o código recebido por torpedo, sozinho, não basta.

Os criminosos estão utilizando esse recurso de segurança para impedir que as vítimas da fraude recuperem suas contas. Após o WhatsApp ser roubado, eles configuram a verificação de duas etapas na conta.

Quando a vítima tentar reativar o WhatsApp do seu próprio número em seu telefone, será solicitada a senha criada pelos criminosos. Isso impossibilita a recuperação da conta.

Como se proteger

A verificação em duas etapas adotada pelo WhatsApp é muito útil para aumentar a proteção da conta se for usada pelo próprio dono da linha. Como o PIN configurado precisa ser digitado regularmente (e não apenas ao ativar a conta), a chance de você se esquecer da senha é menor.

É importante que a senha não seja uma informação pessoal (como o a data de nascimento) e, principalmente, não use os próprios números do seu telefone.

Códigos de autenticação recebidos por SMS não devem ser compartilhados por nenhum meio. Eles devem ser apenas fornecidos aos serviços que os solicitaram, seja em um aplicativo ou em um site da web, e não por telefone, e-mail ou SMS. Também deve ser verificado que o código pertence ao mesmo serviço: o WhatsApp, por exemplo, identifica a origem da mensagem.

A configuração da senha no WhatsApp diminui o risco de um pequeno momento de desatenção acarretar no roubo total da conta, porque vai impedir que o criminoso ative o seu WhatsApp no celular dele, mesmo que você tenha fornecido o número de confirmação por acidente ou que sua linha tenha sido roubada.

O blog perguntou ao WhatsApp quais são as orientações para as vítimas que perderam seu número com esses golpes. A empresa não forneceu uma resposta até a publicação desta reportagem.

Fonte: G1 - 10/05/2019