O modus operandi dos hackers: roubando sua conta do WhatsApp com apenas o seu número de telefone

Os cibercriminosos estão roubando contas do WhatsApp associando um número a outro telefone e depois obtendo a senha de verificação que chega por SMS. A ESET, uma empresa líder em detecção proativa de ameaças, detalha como esse roubo é realizado e por que a autenticação em duas etapas é a melhor maneira de evitá-lo.

Os golpistas primeiro abrem o aplicativo em outro telefone com o número da vítima e, em seguida, tentam enganá-la usando técnicas de engenharia social para obter o código de verificação.

Uma vez que o obtém, acessam a conta e assumem o controle. Neste ponto, a única maneira de evitar o roubo é ter ativada a autenticação em duas etapas. Por isso, é recomendado ter essa opção ativada sempre.

Uma vez que já roubaram a conta, eles se comunicam em nome da vítima com seus contatos e realizam outros tipos de golpes, como solicitar dinheiro.

Cuide da sua conta com algumas dicas para prevenir ataques de sequestro de conta do WhatsApp:

Primeiro, desative a visualização prévia de mensagens SMS. Quando as pessoas usam a verificação em duas etapas (também conhecida como autenticação de dois fatores) sem um aplicativo de autenticação, elas tendem a receber códigos enviados por SMS, mas se esses códigos puderem ser vistos em uma tela bloqueada, não funcionam como uma camada adicional de segurança, se o usuário não estiver atento ao telefone.

Portanto, em segundo lugar, nunca se deve perder de vista o telefone ou dispositivo. Inúmeras pessoas adormecem no trem com seus telefones à vista ou até mesmo ao ir ao banheiro em restaurantes, deixam seus telefones rodeados por estranhos ou mesmo nos locais de trabalho.

Para alguns dispositivos móveis, também está disponível a opção de Passkeys, que substitui a chave de verificação por SMS pela impressão digital, reconhecimento facial ou pelo próprio PIN do celular.

Por fim, a melhor forma de proteger uma conta é ativar a verificação em duas etapas no WhatsApp, pois é simples de configurar e evitará que esse ataque seja bem-sucedido. Abaixo, é mostrado o processo de como fazê-lo:

Com o aplicativo aberto, vá para Configurações/Conta/Verificação em duas etapas e clique em Ativar. Em seguida, insira um código de seis dígitos e memorize-o.

A seguir, insira o endereço de e-mail como uma camada adicional de segurança. Por fim, será exibida a confirmação da verificação em duas etapas configurada no telefone, o que significa que será muito mais difícil para alguém sequestrar a conta ou transferir as mensagens para outro dispositivo.

Uma vez configurada e como uma forma de ajudar a lembrar o número, ao abrir o WhatsApp, ocasionalmente e de forma aleatória, o aplicativo pedirá para inserir o PIN. Isso não acontecerá toda vez que abrir, então não deve ser um inconveniente.

"O roubo de contas do WhatsApp não é algo novo, na verdade, é um flagelo que está cada vez mais presente na América Latina. O exemplo do México é paradigmático: nos dois primeiros meses de 2024, o sequestro de contas do WhatsApp cresceu mais de 650% em comparação com os mesmos meses do ano anterior. Mas não é o único", comenta Fabiana Ramirez, Pesquisadora de Segurança da Informação da ESET América Latina.

A seguir, a ESET revisa alguns exemplos específicos que ocorreram recentemente:

Na Colômbia, os golpistas enviavam mensagens através do WhatsApp, fingindo serem suporte técnico do aplicativo para obter o código de verificação de seis dígitos e roubar a conta. Se a pessoa enviasse esse código, o golpista poderia assumir o controle da conta e ter acesso aos contatos e a parte do histórico de conversas.

Na Argentina, durante a pandemia, usaram como pretexto os turnos de vacinação contra a Covid-19: foram registradas denúncias em que as pessoas alertavam serem contatadas por um telefone com a imagem do Ministério da Saúde da Província de Buenos Aires. Os golpistas solicitavam à vítima que enviasse um código de seis dígitos que receberia por SMS. Supostamente, esse código era para acessar o turno de vacinação, no entanto, trata-se do código que o WhatsApp envia para o número de telefone associado ao aplicativo para verificar que o verdadeiro proprietário da linha está tentando abrir uma conta do WhatsApp em um telefone.

Outro exemplo é o de Honduras, onde circulou uma fraude na qual ofereciam dólares a um preço inferior ao preço de venda autorizado pelo Banco Central do país. A mensagem, enviada por um número de telefone verdadeiro de algum conhecido que já havia sido hackeado anteriormente, tornava muito mais fácil cair na armadilha.

Para saber mais sobre segurança da informação, visite o portal de notícias ESET. A ESET também convida você a conhecer o Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir, acesse este link.

Sobre a ESET

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite nosso site ou siga-nos no LinkedIn, Facebook e Twitter.

Copyright © 1992 - 2024. Todos os direitos reservados. ESET e NOD32 são marcas registradas da ESET. Outros nomes e marcas são marcas registradas de suas respectivas empresas.