Por Thiago Lavado, G1
22/01/2020 08h00
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2019/y/x/Bltg0nQBeSvXc35ltAqA/celular-maos-thiagolavado.jpg)
Rede de telefonia não dispõe de proteções contra a falsificação de origem de chamada. Se você tiver evidências de que seu número foi usado de forma indevida, procure a polícia. — Foto: Thiago Lavado/G1
Golpistas estão ampliando as táticas para conseguir invadir contas do WhatsApp, se passar pelo usuário e extorquir dinheiro de parentes, amigos e contatos do dono da conta. O esquema não é novo: existem relatos pelo menos desde 2017.
Recentemente, a empresa de segurança Kaspersky relatou que, em alguns casos, os criminosos ligavam para as vítimas e ofereciam ingressos ou convites para festas, solicitando apenas que confirmassem um código que supostamente eles tinham enviado por SMS.
Na verdade, se tratava do código de ativação que o WhatsApp manda quando se quer ativar o aplicativo em outro aparelho. Ao descobrirem o código, informado pela própria vítima, os criminosos passam a ter acesso à conta dela no app.
O que é o código de ativação do WhatsApp?
Quando você instala o WhatsApp em um aparelho novo (ao trocar de celular, por exemplo) e coloca seu número de telefone, vai receber uma mensagem SMS nesse número, dentro de alguns segundos.
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2019/q/x/kABZHPQmCrxHobxihURA/whatsapp-sms.jpg)
Mensagem de SMS traz código de seis dígitos que ativa o WhatsApp e alerta para que usuário não o compartilhe. — Foto: Reprodução
Ela informa um link e um "código do WhatsApp", para ativar a conta — é um número criado pelo próprio aplicativo (o Facebook também usa esse recurso, por exemplo).
Isso é uma medida de segurança do app, justamente para evitar que outras pessoas tentem usar a sua conta.
Caso receba uma mensagem de ativação de código que você não pediu, nada vai acontecer se você simplesmente ignorá-la. Mas jamais forneça esse código a ninguém.
O WhatsApp diz que criou um alerta nas mensagens que são enviadas com o código, "avisando seus usuários a não compartilharem o código recebido via SMS, uma vez que essa senha é pessoal e dá ao usuário a segurança de acesso".
Esse aviso, por enquanto, só está disponível em smartphones Android, mas chegará "em breve" aos iPhones, informa o WhatsApp.
Tentativas de burlar o sistema
Cada número pode ter apenas uma conta no WhatsApp e, por isso, os golpistas bolam maneiras e usam informações disponíveis sobre os donos do número para tentar convencer as pessoas a entregar o código recebido.
Segundo o especialista em segurança digital e colunista do G1, Altieres Rohr, eles têm se aproveitado de informações públicas, como anúncios na web que contêm o número da vítima, para ligar ou enviar mensagens falsas em nome dos serviços, pedindo o código.
Isso faz a vítima pensar que um serviço que ela usa está solicitando alguma verificação de conta. É uma atitude parecida com a pessoa que dá informações sobre sua conta bancária, pensando estar falando com o banco.
E se você passar o código?
Quando o código é fornecido, os golpistas já estão com um celular em mãos, prontos para ativar o WhatsApp. E aí eles dão um jeito de tirar o acesso da vítima ao aplicativo.
Para isso, geralmente, ativam a confirmação em duas etapas, que é outra proteção do WhatsApp.
Ela funciona como se fosse uma senha: neste caso, o usuário é quem cria um código de 6 dígitos e ele será solicitado em seguida, para continuar usando o app. Depois, vai ser pedido de tempos em tempos ou quando o WhatsApp é instalado em um novo aparelho.
Se os golpistas criarem um código que você desconhece, você fica "trancado para fora" do app. E, mesmo avisando a empresa de que sua conta foi hackeada, só poderá recuperá-la depois de 7 dias, pelas regras do WhatsApp.
Como se proteger?
A maneira mais eficaz para se proteger é justamente se adiantar aos golpistas: configurar e manter ativa a "confirmação em duas etapas".
Assim, mesmo que, por acidente, você forneça aos criminosos o código do WhatsApp, enviado via SMS, para instalar o app em outro aparelho, eles não saberão que número informar quando o aplicativo pedir a confirmação em duas etapas.
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2019/9/N/AQRd2tTbuQRSaoIjD74A/whatsapp-2fa.jpg)
Configuração da verificação em duas etapas no WhatsApp. — Foto: Reprodução
Para fazer a confirmação em duas etapas do WhatsApp, siga estes passos:
entre no menu de configurações do WhatsApp;
clique em "Conta";
depois, em "Confirmação em duas etapas";
e, finalmente, estabeleça uma senha e um e-mail de segurança.
Essa senha — assim como as de banco, e-mail e outros serviços pessoais — não pode ser compartilhada com ninguém.
Segundo especialistas, também não é recomendado usar uma informação pessoal para a senha, como uma data, por exemplo.
E o caso Bezos?
Na última terça-feira (21), uma reportagem do jornal britânico "The Guardian" afirmou que o homem mais rico do mundo, Jeff Bezos, teve o celular hackeado por meio de um vídeo que recebeu no WhatsApp, enviado por um príncipe da Arábia Saudita. O caso teria acontecido em maio de 2018.
A história com jeitão de filme ainda não foi confirmada, mas, caso seja verdadeira, se trata de algo muito raro, explica Altieres Rohr. "Essas falhas são muito difíceis de explorar em celular", afirma.
A melhor forma de evitar esse tipo de ameaça, segundo ele, é manter o aparelho atualizado.
Em novembro passado, o WhatsApp disse que corrigiu uma falha que podia atacar celulares com arquivos de vídeo, mas afirmou que não havia qualquer informação que indicasse que esta brecha foi utilizada em ataques reais (veja como atualizar seu celular).
