Este artigo tem como objetivo trazer um panorama sobre golpes via Whatsapp que vêm aumentando consideravelmente devido às alterações na forma de consumo e no modelo de trabalho da população trazidos pela pandemia de Covid-19. Serão abordadas formas de se prevenir contra as variações nesse tipo de fraude e o que você pode fazer, caso se torne uma vítima.
O sequestro de contas do WhatsApp é um golpe que existe há alguns anos. As primeiras fraudes foram identificadas em meados de 2016 contra clientes de sites e-commerce na modalidade consumer to consumer (C2C) e funcionavam da seguinte forma: o atacante coletava as informações do anúncio, entrava em contato com o usuário e, através de engenharia social, dizia que para ativar o anúncio seria necessário informar o código recebido via SMS.
Engenharia Social, no contexto de segurança da informação, é um conjunto de técnicas que visam enganar pessoas, por meio da influência psicológica, para obter informações valiosas, sendo a manipulação dos sentimentos humanos um dos artifícios mais usados pelos criminosos, como senso de urgência, a percepção de que se está obtendo vantagem em algo e, sobretudo, a curiosidade.
Métodos
Clonagem via código de verificação
Nessa modalidade de golpe, o objetivo é a captura do código de verificação do WhatsApp e, para realizar esse feito, o criminoso investe em diferentes abordagens de engenharia social, sendo a supracitada, a mais comum.
Em geral, o golpista oferece uma promoção com vantagens aparentemente irrecusáveis, porém, para fazer a liberação da compra, cupom ou qualquer outro produto, ele diz que precisa dos 6 dígitos que acabou de enviar via SMS. Quando a vítima fornece esse número, na expectativa de receber o benefício prometido, na verdade está compartilhando com o golpista o código de verificação do WhatsApp, o qual é usado para acessar a conta em outro aparelho.
Outra variação dessa modalidade, apelidada de Atendente Impostor, tem como foco as páginas oficiais de instituições financeiras, por meio das quais o fraudador acompanha reclamações dos clientes e entra em contato se passando por um atendente ou pelo gerente do banco, afirmando, dentre outras coisas, que para evitar o bloqueio do aplicativo é necessário informar o código de seis dígitos que foi enviado via SMS.
Outra abordagem, a qual explora temas ligados à pandemia de Covid-19, se baseia na narrativa de que o fraudador seria um agente de saúde que estaria fazendo uma pesquisa para o Ministério da Saúde.
A única maneira de não se tornar vítima da abordagem de um “Atendente Impostor” é desconfiar. Caso entrem em contato para resolver algum problema solicitando códigos ou dados pessoais. Nesses casos, é recomendável entrar em contato direto com o SAC da empresa via contato telefônico ou por e-mail, pois normalmente as empresas não pedem código de autenticação via SMS para essas funcionalidades.
SIM Swap
Esse golpe consiste em fazer o sequestro do número do chip do celular da vítima, vinculando seu número a um novo chip, e consequentemente um celular, de posse do fraudador. Esse sequestro da linha pode acontecer de forma momentânea ou definitiva. Para conseguir realizar a troca, os fraudadores compram um novo chip e usam técnicas de engenharia social contra operadoras de telefonia móvel ou seus prestadores de serviço, entrando em contato e se passando pelo titular do chip original, informando que seu aparelho foi roubado e solicitando a portabilidade do número para outro aparelho. A realização de fraude documental, com a apresentação de documentos falsos, também é uma técnica utilizada pelos fraudadores.
Em alguns casos, o fraudador também pode contar com o apoio de funcionários de empresas de telefonia ou representadas que participam como cúmplices no esquema, os quais possuem acesso a sistemas restritos das operadoras para fazer essa alteração. Há também cenários em que fraudadores conseguem realizar o SIM Swap usando credenciais de acesso aos sistemas da operadora que foram vazadas ou roubadas.
Para a realização desse procedimento, o fraudador precisa apenas do número de celular, nome completo e data de nascimento da vítima, informações que podem ser facilmente obtidas na Internet. Após o sequestro, o chip original é desativado e o fraudador obtém acesso aos contatos e grupos da vítima no WhatsApp.
Vale ressaltar que o ato de desvincular uma conta a um chip e vincular a outro é um processo normalmente usado pelas operadoras para atender clientes que compram um novo aparelho ou que tiveram o dispositivo perdido, roubado ou quebrado.
Com os últimos vazamentos ocorridos em 2020 e no início de 2021, os quais foram amplamente noticiados pela imprensa, os fraudadores possuem dados em volume suficiente para tentar aplicar o SIM Swap contra múltiplos consumidores, o que demanda cuidados redobrados às operadoras de telefonia e atenção a instabilidades no serviço por parte dos usuários.
Monetizando o Ataque
Muitas vítimas não percebem que o código fornecido ao criminoso é o próprio código de autenticação do aplicativo e, ao entregar essa chave de acesso, permitem que o fraudador se conecte à sua conta do WhatsApp em outro aparelho. Como consequência disso, a vítima geralmente perde o acesso à conta. Em seguida, o fraudador aborda a lista de contatos buscando por familiares e amigos a fim de fazer novas vítimas, dizendo que precisa de uma transferência urgente e informa seus dados bancários, como no caso a seguir.
Como se proteger
Existem duas medidas que podem ser utilizadas para evitar esses golpes, a primeira é nunca compartilhar códigos de confirmação recebidos via SMS para terceiros. A segunda e não menos importante, é a ativação da verificação em duas etapas, recurso disponibilizado pelo próprio aplicativo em Configurações/Ajustes > Conta > Confirmação em Duas Etapas > Ativar.
Com esse recurso ativado, você precisará digitar uma senha de seis dígitos toda vez que o aplicativo pedir a confirmação do seu número de telefone. Ou seja, se um criminoso tentar sequestrar sua conta no WhatsApp ele ainda precisará desse código para usar a conta em outro dispositivo.
Apesar desses recursos favorecerem a sua segurança, é necessário tomar outras medidas preventivas, como evitar clicar em links suspeitos enviados por mensagens em grupos ou via SMS e não instalar aplicativos de fonte desconhecida ou com origem em lojas não oficiais, pois esse tipo de ação pode permitir a execução de outros tipos de ataque, como a instalação de malwares, sobretudo daqueles que visam roubar dados pessoais e bancários.
O que fazer depois de ter o WhatsApp atacado
A primeira coisa a se fazer após identificar que foi vítima do golpe é, se possível, entrar em contato com familiares e amigos para alertá-los, dessa maneira você poderá evitar que transações financeiras sejam feitas ao fraudador.
Em seguida, há dois cenários a se considerar, no primeiro, a conta não possui a verificação em duas etapas ativada e o criminoso, após sequestrá-la , não ativou essa funcionalidade. Nesse caso, tente recuperar a sua conta, pois é possível desconectar o golpista instalando novamente o aplicativo e entrando com seu número de telefone e o novo código de verificação que será enviado pelo WhatsApp. Com isso, quem estiver utilizando a conta será desconectado automaticamente.
No segundo cenário, a conta não possui a verificação em duas etapas ativada e o criminoso ativou o recurso após sequestrar a sessão. Nesse caso, seguindo as mesmas etapas, o fraudador será desconectado, porém, a vítima só conseguirá acessar a sua conta novamente após sete dias.
Em casos de SIM Swap, os passos acima não surtirão efeito, sendo necessário comprar um novo chip e ativá-lo junto à operadora.
Outros passos importantes a serem feitos após identificar o golpe são:
- Registre um Boletim de Ocorrência (BO) junto à Polícia;
- Caso alguma pessoa tenha feito transferência, comunique a instituição financeira;
- Envie e-mail para [email protected] solicitando a desativação do acesso do fraudador.
Impactos
Os principais impactos envolvendo a fraude de sequestro de contas do Whatsapp são, o vazamento de conversas privadas e confidenciais, o envio de links maliciosos para a lista de contatos da vítima, a solicitação de dinheiro aos amigos e por fim a chantagem por parte do fraudador para recuperação da conta da vítima no aplicativo. Além disso, questões relacionadas à privacidade, já que o fraudador em alguns casos pode ter acesso ao histórico de conversas da vítima, quando esta faz backup de suas conversas na nuvem.
Outra questão problemática para as vítimas são as possíveis transferências via PIX ao fraudador. A agilidade desse novo método de transferência tem atraído cada vez mais fraudadores por contar com transferências rápidas e pela possibilidade de se movimentar dinheiro a qualquer dia e horário. Assim os criminosos conseguem movimentar e sacar a quantia rapidamente antes que a vítima perceba e bloqueie seu acesso. Além disso, o estorno de transações fraudulentas via PIX é mais difícil que os tradicionais DOCs e TEDS, com muitas vítimas relatando que, por terem feito a transferência de forma consciente, os bancos acabam não devolvendo o dinheiro.
Antes de seguir com uma transferência via Pix é importante validar o nome completo e trecho do CPF do destinatário.
Em caso de fraude envolvendo o método de pagamento, o sistema Pix possui uma funcionalidade de antifraude que permite marcar como suspeitas todas as chaves aleatórias, CPFs/CNPJs e contas envolvidas em golpes. Essa informação é compartilhada entre os bancos a fim de coibir futuros golpes, por isso é muito importante que a vítima entre em contato com o banco assim que perceber a fraude.
Parecer Técnico
Segundo levantamento feito pelo laboratório especializado em Segurança Digital da Psafe, em 2020 cerca de 5 milhões de brasileiros foram impactados, por ser o aplicativo de mensagem mais utilizado no mundo se torna um atrativo para fraudadores por seu terreno fértil, facilidade e baixo custo para execução do golpe.
Devido ao crescente número de episódios de vazamento de dados é importante não apenas habilitar a verificação em duas etapas na ferramenta, mas também avaliar o uso da Internet e a exposição de informações de forma pública principalmente nas redes sociais.
O que podemos fazer para diminuir essa exposição, seria avaliar os aplicativos instalados no smartphone e seus termos e condições de uso, como também as suas políticas de privacidade de modo a identificar que tipo de informações esses aplicativos estão capturando.