Entenda o golpe que rouba conta de WhatsApp sem usar vírus

Pegasus: o spyware perfeito para iOS e Android
outubro 1, 2019
Ator tem celular clonado e contatos recebem mensagens perigosas

Marcos Lopes, 37, não estranhou quando recebeu uma mensagem em seu celular. Ele havia acabado de publicar um anúncio na OLX, plataforma de comércio online, para vender um relógio. O que aconteceu depois disso é que foi surreal: um WhatsApp clonado e R$ 500 a menos na conta de um amigo.

O especialista financeiro caiu em um golpe que têm crescido bastante ao longo de 2019: o roubo de contas de WhatsApp a partir de números de celular expostos em anúncios na internet. E após obter a posse da conta roubada, os criminosos fingem ser a vítima e pedem dinheiro para os contatos cadastrados.

“Quando coloquei o relógio para anunciar, deu questão de segundos e recebi um WhatsApp. A mensagem tinha uma foto da OLX [com o logo], bem redigida, dizendo que para ativar o meu anúncio eu teria que enviar um código de confirmação para eles”, lembrou Lopes.

Pouco tempo depois, o profissional recebeu um SMS com um número de seis dígitos. Não pensou duas vezes e compartilhou a informação com o responsável pela falsa mensagem. Mal sabia Lopes que o código na verdade era o número de autenticação exigido pelo WhatsApp para concluir a configuração do perfil em outro celular.

“Eu nem me liguei. A partir desse momento, minha conta bloqueou”, contou. Lopes recebeu uma mensagem informando que o seu número telefônico estava sendo usado em outro aparelho, e se deu conta de que o seu perfil havia sido roubado.

A conta só foi recuperada três horas depois, após o envio de um email para o suporte da empresa detalhando o acontecido.

Nesse meio tempo, cerca de 300 pessoas receberam mensagens falsas enviadas como se fossem de Lopes. Todas com pedidos de dinheiro emprestado. Uma delas foi tão convincente que um amigo da vítima transferiu R$ 500.

Criminoso tentou enganar os familiares de Marcos Lopes com falsa mensagem Imagem: Arquivo pessoal

Uma situação parecida aconteceu com Hugo Matta, 30. Por sorte, ele desconfiou nos primeiros segundos. Era um sábado à noite, e do outro lado da linha uma voz tranquila dizia ser funcionário do Mercado Livre.

Matta estava vendendo o seu carro e havia anunciado realmente na plataforma de comércio online. Mas o fato de a ligação ter sido às 21h de um fim de semana levantou o alerta. A recusa em fornecer os dados resultou em uma série de xingamentos por parte do falso funcionário e um estresse desnecessário. Foi por pouco.

“Fiquei meio desnorteado, sem entender. Levei um susto. Comecei a ser xingado pelo cara. Até pensei em ligar para ele de volta, mas desisti”, contou Matta.

Como o golpe funciona

Infelizmente, a tentativa de golpe não se restringe à OLX e ao Mercado Livre. Ela pode ocorrer em qualquer plataforma de compra online.

Quando um vendedor vai cadastrar um anúncio, ele precisa deixar geralmente um contato telefônico. Muitas vezes é o número do celular (e do WhatsApp) que acaba ficando disponível. É nessa hora que os criminosos começam a agir.

A tentativa de roubar contas de WhatsApp pode acontecer de duas formas: um primeiro contato do criminoso com a vítima por ligação telefônica, ou por mensagens diretas no WhatsApp.

Nos dois casos, um falso representante da empresa entra em contato com o vendedor e argumenta que alguns dados precisam ser atualizados para que o anúncio permaneça ativo. Ao final, é pedido para a vítima que ela informe naquele momento os dígitos de um código SMS de verificação que ela receberá em instantes.

Em posse do código SMS recebido, o criminoso consegue ativar ali na hora a conta do WhatsApp do vendedor em seu próprio aparelho. Ao fazer isso, automaticamente o usuário deixa de ter acesso às suas conversas.

Enquanto a vítima não recupera sua conta, o criminoso dispara mensagens para os contatos registrados pedindo dinheiro emprestado e se fazendo passar por ela.

Reprodução de duas falsas mensagens recebidas por usuários Imagem: Kaspersky.

Classificamos este golpe como engenharia social, pois usa uma falha no sistema e as emoções da vítima. A autenticação via SMS é algo massivamente disseminada no Brasil pelos bancos e a maioria das pessoas está acostumada. Isso facilita o golpe, pois a vítima não presta atenção na mensagem completa que informa que o código é a ativação do programa de mensagens. A vítima simplesmente reage à abordagem e acaba tendo sua conta roubada
Fabio Assolini, analista sênior de segurança da Kaspersky

Em resposta a Tilt, a OLX não comentou o caso de Lopes. Mas reforçou que a publicação de anúncios não está condicionada ao envio de qualquer informação pessoal por telefone, WhatsApp, SMS e redes sociais.

Atualmente, a empresa permite que apenas pessoas logadas na plataforma tenham acesso ao chat de negociação. Em breve, uma validação via telefone será exigida e o usuário só conseguirá visualizar o número de telefone dos vendedores se estiver com o seu perfil conectado ao sistema.

[ATUALIZAÇÃO] Após a publicação da reportagem, o Mercado Livre enviou comunicado dizendo que orienta seus clientes a sempre realizarem os contatos logados à plataforma.

“Para garantir a segurança dos usuários, dados de contato como endereço de email e número de celular não devem ser informados a outros usuários diretamente antes da concretização da venda/compra do produto por meio da plataforma”, diz a empresa, que também orienta que esses dados não sejam trocados por email ou mensagens.

Como se proteger

A maior característica desse golpe é induzir as pessoas a fornecerem os códigos de ativação do WhatsApp. Por isso, a recomendação dos especialistas é: jamais compartilhe esse dado.

Desconfie se:

  • Receber ligações e mensagens de pessoas em nome dos sites de comércio online (de bancos e outras empresas também);
  • Fique ainda mais em alerta se neste contato for pedido para você instalar algum programa em seu aparelho, exigirem pagamento e/ou informações pessoais (senhas, documentos pessoais);
  • O uso de gírias, frases informais demais e erros de ortografia, no caso de mensagens de textos, também indicam que algo está errado;
  • Para aumentar a proteção, ative a verificação em duas etapas do WhatsApp). Ela funciona como uma camada a mais de segurança. Mesmo que uma pessoa obtenha o código de verificação, ela vai precisar inserir também uma senha de seis dígitos criado por você. Ou seja, só sabendo essa informação para conseguir roubar o seu perfil.

Nem Lopes e nem Matta procuraram a polícia para denunciar o golpe. Mas a recomendação é que de as vítimas façam o registro da ocorrência caiam em um golpe como esse.

Fontes consultadas: Fabio Assolini, analista sênior de segurança da Kaspersky, e André Munhoz, country manager da Avast.

Via: https://www.uol.com.br/tilt/noticias/redacao/2019/10/22/entenda-o-golpe-que-rouba-conta-de-whatsapp-sem-usar-virus.htm

× WhatsApp