Novo golpe consegue burlar autenticação em duas etapas do WhatsApp; entenda
Especialistas de cibersegurança alertam sobre como se proteger do roubo de contas
Especialistas da empresa de cibersegurança Kaspersky descobriram um novo golpe no WhatsApp que consegue, por meio de artifícios de engenharia social e uma solicitação ao próprio suporte do serviço, burlar o recurso de autenticação em duas etapas, ativado por uma senha pessoal do usuário exigida no momento da instalação do aplicativo.
A vítima, segundo os especialistas, recebe uma ligação dos criminosos, que se apresentam como representantes do Ministério da Saúde e perguntam se podem realizar uma pesquisa sobre a Covid-19. Toda a encenação tem um objetivo claro: fazer a pessoa passar o código de seis números que é enviado via SMS para "confirmar a realização da pesquisa". Se o alvo não presta atenção na mensagem e informa o código, a conta pode ser roubada.
A mudança ocorre quando o golpista se depara com a tela que solicita a senha da autenticação em duas etapas. Quando isso acontece, eles encerram a ligação da suposta pesquisa e ligam novamente para o usuário, mas, dessa vez, se passam pelo suporte do aplicativo de mensagens, explicam que a empresa identificou uma atividade maliciosa na conta e orientam a vítima a acessar seu e-mail para realizar o recadastro da dupla autenticação.
O que mais surpreendeu os pesquisadores é que, de fato, a vítima recebe uma mensagem de e-mail legítima do aplicativo de mensagens com o título "Two-Step Verification Reset" ("resgate da verificação em duas etapas", em tradução livre), contendo um link para desabilitar a proteção adicional. Após análise, Fabio Assolini, pesquisador sênior de segurança da Kaspersky, destaca que a engenharia social dos criminosos atingiu um novo nível.
"Tanto a mensagem quanto o link para recuperar a dupla autenticação são legítimos, ou seja, foram enviados pela dona do aplicativo. Da mesma forma que podemos solicitar a recuperação de uma senha em uma loja online, podemos pedir a recuperação da dupla autenticação do app de mensagens, caso a senha seja esquecida. O golpe se vale de engenharia social, forçando as vítimas a clicarem no link recebido por e-mail", afirma Assolini.
O especialista finaliza explicando que os criminosos permanecem na linha enquanto a vítima acessa o e-mail e o link, e destaca que a página de destino, na verdade, realiza a desativação da autenticação em duas etapas. "A ideia aqui é permitir que a pessoa crie uma nova senha ao ativar a função novamente. Só que os criminosos aproveitam que a conta está desprotegida e usam o código temporário recebido na primeira ligação para realizar a instalação em um dispositivo deles, e assim seguir com o golpe, entrando em contato com amigos e familiares para pedir dinheiro", detalha o pesquisador.
De acordo com a Kaspersky, os usuários do WhatsApp devem saber que esse novo golpe existe para se protegerem adequadamente, além de ativar a dupla autenticação, caso não o tenham feito. Veja como:
- Vá ao menu de configurações no canto superior direito do app;
- Acesse a opção "Configurações";
- Clique em "Conta";
- Selecione "Confirmação em duas etapas";
- Crie um código de seis dígitos;
- Não esqueça de solicitar que seu número seja retirado das listas de IDs de aplicativos que identificam chamadas, pois eles podem ser usados por golpistas para identificá-lo a partir do seu nome;
- E jamais desative a autenticação de dois fatores, a não ser que esqueça a senha e faça essa solicitação.
Assolini ressalta, contudo, que apenas o WhatsApp pode dar uma solução definitiva para o problema e acabar com os golpes de roubo de contas. "Do ponto de vista da segurança, o aplicativo deve melhorar o processo de recuperação da dupla autenticação, permitindo o recadastro na própria página da empresa, em vez de realizar a desativação. Dessa forma, esse esquema seria inviabilizado", conclui.