Um golpe de engenharia social permite que criminosos usem sistemas de encaminhamento de chamadas, disponíveis na maioria das operadoras de telefonia globais, para roubar contas do WhatsApp. O segredo está em induzir o utilizador a activar o serviço, através de uma chamada fraudulenta, e efectuar o processo ainda na linha, sendo o código de verificação da aplicação enviado, também, por chamada de voz.
- Como saber se um celular é roubado
- Código que diz revelar se seu celular foi espionado é falso; entender
O procedimento foi demonstrado pelo CEO e fundador da empresa de segurança CloudSEK, Rahul Sasi. Ele afirma ter conseguido roubar contas do WhatsApp em questão de minutos, usando interfaces telefônicas automatizadas e códigos fornecidos pela operadora para permitir o redirecionamento, muitos dos quais estão disponíveis gratuitamente na Internet. Existem diferentes etapas e alguns complicadores, que também podem ser superados pelo crime organizado.
Alguns dispositivos de segurança podem servir para revelar o golpe, como uma notificação persistente no telefone sobre a confirmação do redirecionamento. Em outros, os códigos fornecidos pelas operadoras só redirecionam as ligações quando o número original está indisponível ou ocupado, o que aumenta o tempo necessário para a ligação fraudulenta e também pode levar a suspeita por parte da vítima. Mensagens de texto e confirmações também podem aparecer no WhatsApp.
Tática criminosa no WhatsApp foi verificada por site
A Sasi conseguiu explorar os números das duas maiores operadoras de telefonia da Índia, Airtel e Jio, enquanto o site Bleeping Computer também verificou o método contra gigantes das telecomunicações, como Verizon e Vodafone. As operadoras brasileiras também possuem códigos desse tipo, mas não há registros de golpes desse tipo sendo executados por criminosos por aqui.
Por outro lado, ativar a autenticação em duas etapas no WhatsApp é suficiente para interromper o ataque. Com o recurso funcionando, mesmo que você tenha o código de verificação, os invasores precisariam de mais uma senha, que não deve ser repassada a ninguém, para ativar sua conta em um novo aparelho, evitando completamente o golpe mesmo que seu celular para outro seja completado com sucesso.
Outra recomendação de segurança é desconfiar de ligações e mensagens que solicitem ligações ou indiquem números para serem acessados diretamente. Caso suspeite da veracidade do contato em nome de uma empresa ou serviço, ao invés de atender a solicitação, prefira entrar em contato pelos meios oficiais, pois os representantes poderão informá-lo sobre o assunto.
