Um simples erro de usuário do WhatsApp pode causar grandes problemas
Zak Doffman, CEO de uma empresa de segurança chamada Digital Barriers e colaborador da Forbes, recentemente se deparou com um ataque de controle de contas direcionado a usuários do WhatsApp. Isso mostra mais uma vez que, para os cibercriminosos, ser capaz de invadir a psique humana pode ser ainda mais importante do que invadir um serviço online.
Doffman soube do ataque quando um amigo dele reclamou em um bate-papo em grupo que sua conta do WhatsApp havia sido invadida. Ela disse aos outros para tomarem cuidado com as mensagens que supostamente vinham dela e alertou a todos para não revelar números de seis dígitos que poderiam receber como texto. Parecia um pouco estranho no começo, mas logo Zak Doffman sabia exatamente o que havia acontecido, e ficou bastante surpreso com o quão simples e inteligente o ataque é.
Uma masterclass de engenharia social
É impossível dizer quão difundido é o golpe ou se ele é direcionado a um conjunto específico de usuários. A maneira como o ataque funciona, no entanto, sugere que quem o organizou está determinado a assumir o maior número possível de contas.
Pessoas preocupadas em comprometer suas conversas particulares podem dar um suspiro de alívio. O uso de criptografia de ponta a ponta do WhatsApp significa que, se alguém fizer login na sua conta a partir de um dispositivo diferente, ele não poderá ver seus bate-papos, a menos que também tenha roubado seu backup. O que eles podem ver, no entanto, são os números de telefone de seus amigos e também podem tentar comprometer suas contas.
Obviamente, eles fazem isso a partir de um dispositivo não reconhecido anteriormente, o que significa que é impossível fazer login sem um código de seis dígitos que o proprietário da conta recebe como um SMS. No entanto, o invasor usa sua conta já comprometida para se passar por você e solicita educadamente o código mencionado acima. Os atacantes esperam que a confiança estabelecida entre você e seu amigo seja suficiente para que o código seja entregue sem hesitar. Na maioria dos casos, com isso, os bandidos podem assumir a conta do seu amigo.
É um ataque clássico de engenharia social, e a maneira como funciona mostra que a contagem de vítimas pode facilmente sair do controle. O fato de fazer isso não requer um grande investimento financeiro torna ainda mais atraente para criminosos cibernéticos não sofisticados, e é por isso que provavelmente devemos falar sobre o que você pode fazer para se manter seguro.
Como identificar o golpe mais recente do WhatsApp?
É tudo sobre como funciona o WhatsApp. Se fizer isso, saiba que o código de seis dígitos que você acabou de receber foi enviado porque alguém está tentando acessar sua conta a partir de um dispositivo diferente. Com isso em mente, não será difícil suspeitar que algo esteja errado quando alguém da sua lista de contatos solicitar o código mencionado acima, mesmo que alguém se esconda atrás do número de telefone do seu melhor amigo.
Se você estiver familiarizado com o processo de login do WhatsApp, também saberá que o aplicativo oferece uma opção de autenticação de dois fatores que pode ser ativada na seção Conta nas configurações do aplicativo. Com a autenticação de dois fatores, o login em um novo dispositivo exigirá não apenas o código de seis dígitos de que falamos nos parágrafos anteriores, mas também um PIN, que você criará e se lembrará.
Embora o design do ataque seja inteligente, seu sucesso depende em última instância de você cometer uma série de erros simples. Cabe a você provar que é melhor que isso.