Cibercriminosos já conseguem roubar contas de WhatsApp sem usar malwares. Foi o que descobriu uma pesquisa da Kaspersky Lab. A empresa observou o crescente número de relatos de usuários que se queixam de ter perdido contas no mensageiro e elaborou um estudo a partir disso. Concluiu que os criminosos utilizam engenharia social para enganar suas vítimas.
Os ladrões monitoram as plataformas de venda pela internet e miram quem cria anúncios de produtos. Então, enviam uma mensagem como se fossem da plataforma de vendas. “Verificamos um anúncio recém-postado e gostaríamos de atualizar seus dados para que continuem disponíveis para visualização” ou “Em razão do grande número de reclamações referentes a seu número de contato, estamos verificando“. As mensagens pedem que a vítima informe o código recebido por SMS.
Quando a vítima responde à mensagem, o fraudador ativa o WhatsApp em um novo celular e o suposto código de verificação é, na verdade, o código de ativação da conta. Se não prestar atenção, passa o número e tem seu WhatsApp roubado em minutos. O Facebook (controlador do WhatsApp) anunciou na semana passada novas medidas de segurança para esse tipo de caso“, explica Fabio Assolini, analista sênior de segurança da Kaspersky Lab no Brasil.
A segunda parte do golpe é a mesma utilizada por criminosos que clonam celulares no Brasil. Eles enviam mensagens para os contatos mais recentes — normalmente amigos próximos ou familiares da vítima — e pedem um empréstimo para uma despesa urgente.
Não há um padrão para a quantia, mas nas mensagens a que os especialistas tiveram acesso, o pedido era de R$ 2.100. Se a pessoa se dispuser a ajudar, o criminoso pergunta “qual o banco mais fácil para você” e, em seguida, envia os dados da conta bancária de um laranja. Até o proprietário recuperar o acesso ao WhatsApp, os ladrões já tiveram tempo de falar com diversas pessoas.
Além de ter atenção, só há uma maneira de evitar o esquema: com a tecnologia de dupla autenticação do WhatsApp. É uma senha criada pelo usuário e que é solicitada de vez em quando pelo app. Mesmo que a vítima informe o código de ativação, o criminoso terá de pedir a senha da dupla autenticação — isso sai do contexto do anúncio e a pessoa pode perceber a fraude antes de ser tarde demais“, alerta Assolini.
Durante o golpe, não é usado nenhum programa malicioso para coletar as informações nos sites de venda ou roubar a conta da vítima no app de mensagens. Os especialistas dizem que processos desse tipo são “baseados 100% em engenharia social” e utilizam recursos legítimos.
Além disso, os anúncios permitem uma abordagem muito convincente. “Neste fim de semana, encontrei um amigo que trabalha com desenvolvimento de software e que caiu nesse golpe. Ele havia acabado de postar um anúncio. Foi surpreendente, porque ele tem conhecimentos de segurança e, mesmo assim, foi iludido“, destaca o analista.
Até o momento, foram identificadas mensagens em que os criminosos se passam por OLX, Webmotors e Zap Imóveis. “Embora não haja uma solução milagrosa, sugiro que as empresas reavaliem o uso de autenticação de dois fatores via SMS e as informações dos usuários que são expostas publicamente por padrão. Com a criação desse esquema malicioso, é importante oferecer uma solução benéfica para os usuários que mantenha sua privacidade protegida de pessoas mal-intencionadas”, avalia.
Fonte: Olhar Digital

Comentários do Facebook