Os golpes para roubar uma conta do WhatsApp (tecnicamente conhecidos como “Account Takeover”) estão completando dois anos e vários temas já foram usados para enganar as vítimas.
Até agora, a única maneira de evitá-los era ativar a confirmação em duas etapas (ou dupla autenticação), que usa uma senha numérica criada pelo usuário e solicitada durante uma reinstalação do app.

Mas segundo os especialistas da Kaspersky, os criminosos acabam de encontrar uma forma de burlar esta proteção, combinando engenharia social e uma solicitação ao suporte do WhatsApp.

Como o golpe é aplicado?

Não há mudanças no início do golpe. A vítima recebe uma ligação dos criminosos que se apresentam como representantes do Ministério da Saúde e perguntam se podem realizar uma pesquisa sobre a Covid-19.
Toda a encenação tem um objetivo claro: fazer a pessoa passar o código de seis dígitos que é enviado via SMS para “confirmar a realização da pesquisa”.

Se a vítima não presta atenção à mensagem e informa o código, a conta pode ser roubada. A mudança ocorre quando os golpistas se deparam com uma conta que solicita a senha da autenticação em duas etapas.

Quando isso acontece, eles encerram a ligação da suposta pesquisa e ligam novamente para a vítima. Mas, desta vez, se passam pelo suporte do aplicativo e dizem que a empresa identificou uma atividade maliciosa na conta, e que a vítima deve acessar seu e-mail para realizar o recadastro da dupla autenticação.

O que mais surpreendeu os especialistas da Kaspersky é que, de fato, a vítima recebe uma mensagem de e-mail legítima do WhatsApp com o título “Two-Step Verification Reset” (Resgate da Verificação em Duas Etapas – em tradução livre) com um link para desabilitar a proteção adicional.

“Tanto a mensagem quanto o link para recuperar a dupla autenticação são legítimos, ou seja, foram enviados pelo WhatsApp. Da mesma forma que podemos solicitar a recuperação de uma senha em uma loja online, podemos pedir a recuperação da dupla autenticação do app de mensagens, caso a senha seja esquecida. O golpe se vale de engenharia social, forçando as vítimas a clicarem no link recebido por e-mail”, explica o especialista da Kaspersky.

Assolini finaliza explicando que os criminosos permanecem na linha enquanto a vítima acessa o e-mail e o link e destaca que a página de destino, na verdade, realiza a desativação da autenticação em duas etapas.

“A ideia aqui é permitir que a pessoa crie uma nova senha ao ativar a função novamente. Só que os criminosos aproveitam que a conta está desprotegida e usam o código temporário recebido na primeira ligação para realizar a instalação em um dispositivo deles e assim seguir com o golpe, entrando em contato com amigos e familiares da vítima para pedir dinheiro”, detalha o pesquisador de segurança.

A única forma de evitar cair neste novo golpe é desconfiar ou saber antecipadamente que ele existe. Segundo Assolini, apenas o WhatsApp pode dar uma solução definitiva para isso e acabar com os golpes de sequestro de contas.

“Do ponto de vista da segurança, o aplicativo deve melhorar o processo de recuperação da dupla autenticação permitindo o recadastro na própria página da empresa, em vez de realizar a desativação. Desta forma, este esquema seria inviabilizado”, conclui.

Para se proteger, Assolini recomenda que os usuários ativem a autenticação em dois fatores e jamais desativem este recurso, a não ser que esqueçam a senha e tenham tomado esta decisão por conta própria.