Como os criminosos podem invadir sua conta no WhatsApp

É cada vez mais comum recebermos mensagens de contatos avisando que tiveram o seu WhatsApp clonado. Isso pode ser um transtorno grande pois pode colocar os seus dados e de amigos em risco.

Neste post gostaria de explicar como estes ataques funcionam e como evitá-los.

A instalação do WhatsApp requer código de verificação de seis dígitos que é recebido em seu telefone via SMS ou Call. Este código, também conhecido como OTP (One Time Password) é um código de ativação. Ele pode ser roubado usando SMS, Call, SMS Forwarder ou Aplicativos de Acesso Remoto.

Ambos os métodos de ativação são usados de diversas formas para assumir contas do WhatsApp e todos os usuários precisam ficar atentos.

Veja abaixo as 4 técnicas mais usadas pelos criminosos:

Técnica 1:  Assumir a conta de WhatsApp através de SMS

Este é o método mais clássico de fraude.

A vítima recebe uma ligação de um número desconhecido e convence a vítima a compartilhar o Código de Ativação. A vítima sem saber compartilha o Código de Ativação. O Hacker ativa a conta em outro aparelho e conta fica comprometida.

Criminosos inteligentes esgotarão o limite de entrada do Código de Ativação. Assim a conta da vítima vai congelar por algum tempo (normalmente de 12 a 24 horas ) para registro em qualquer outro dispositivo. Isso significa que a vítima não terá a conta de volta por 12 horas. O hacker terá 12 horas para usar a conta da vítima como quiser.

Como evitar: Nunca, nunca mesmo, repasse o código de confirmação com seis dígitos do WhatsApp para ninguém.

Técnica 2:  Monitorar conversas pelo WhatsApp Web

Este é o método mais simples de realizar, mas também de detectar.

O criminoso abre o WhatsApp Web e através do celular da vítima escaneia o QR Code para realizar ativação.

Até aí todo mundo conhece, mas o detalhe é que tem vários aplicativos na Play Store que podem facilitar e ajudar o criminoso a fazer isso.

Como por exemplo:

Whats Web for WhatsApp: https://play.google.com/store/apps/details?id=com.softinit.iquitos.whatsweb

WhatsTool: Toolkit for WhatsApp: https://play.google.com/store/apps/details?id=com.whatstools.statussaver.directchat.trendingstatus.searchprofile

Através deste tipo de aplicativo o criminoso pode fazer tudo por um celular, sem precisar de um computador.

Como evitar:

  • Nunca deixe seu celular desbloqueado
  • Sempre confira os dispositivos autorizados nas configurações do seu Whatsapp em “Aparelhos conectados”.
  • Ative também as notificações, pois o WhatsApp Web avisará quando algum outro dispositivo estiver conectado com a sua conta em outro aparelho.

Técnica 3: Assumir a conta através de Engenharia Social em uma Chamada

A vítima recebe uma ligação de um número desconhecido e inicia um assunto interessante (Feedback de vacinas, suporte ao WhatsApp, Pesquisa, Sorteio do Pix, Promoção, etc.)

Paralelamente, o Hacker iniciará o processo de registro do WhatsApp do número de destino.

O hacker selecionará opção de ativação do WhatsApp baseado em chamadas e convencerá a vítima a agrupar a chamada . Eles vão convencer a vítima com alguma razão lógica para fazer isso.

Por exemplo: Por favor, agrupe a chamada com nosso técnico de suporte que irá te ajudar.

Se a vítima agrupa a chamada, que na verdade está se fundindo à chamada de verificação do WhatsApp que tem o Código de Ativação.

Hacker entra pelo Código de Ativação, ativa a conta e a vítima é desligada.

Como evitar: Assim como todos os golpes online, desconfie de ofertas vantajosas e desligue. Também não aceite agrupar a chamada.

Técnica 4: Assumir a conta com um número diferente

Uma estratégia de golpistas é pegar a foto que você usa no seu perfil do aplicativo e colocar em um número novo.

Com a imagem, acionam seus contatos (obtidos em suas redes sociais ou grupos, por exemplo) e se passam por você dizendo que mudou de celular, mas que está precisando de dinheiro. Já vi alguns casos que descobrem a sua senha do Google e baixam seus contatos, o que facilita em muito o trabalho do criminoso, pois poderá chamar todos os seus contatos.

 

Como evitar: Esse último golpe pode ser evitado com uma simples mudança nas configurações de privacidade da sua conta no aplicativo. É só fazer a opção de disponibilizar sua foto de perfil do WhatsApp apenas para seus contatos. Ative também o Duplo Fator de Autenticação em todos os seus serviços online como E-mail e Redes Sociais.

O que eles podem fazer depois de receber seu WhatsApp?

  • Fraude financeira: Mensagem a todos os grupos e contatos “Estou hospitalizado, preciso de dinheiro. Por favor, transfira R$ para minha conta”
  • Extorsão: Usar suas fotos pessoais para chantagear ou extorquir.
  • Difamação: Postar status/mensagens que possam difamar você e sua imagem.
  • Desativação de conta: Solicitar a desativação do Whatsapp da sua conta.

O que eles não podem?

O pagamento do WhatsApp ainda não pode ser usado, pois o SIM é obrigatório para o registro do serviço.

O que fazer se o seu WhatsApp for hackeado?

  • Leia as diretrizes de Segurança do WhatsApp: https://faq.whatsapp.com/general/account-and-profile/stolen-accounts
  • Reative seu WhatsApp em seu dispositivo e desative de todos os Aparelhos ativos/conectados.
  • Muitas vezes, você não será capaz de fazer login, pois eles podem esgotar suas tentativas de login propositalmente.
  • Nesse caso ligue e envie SMS para todos seus seus parentes e membros de grupos informando que sua conta foi hackeada e pedindo para não responderem a nenhuma solicitação.
  • Faça um boletim de ocorrência para registrar o golpe.

O golpe está aí!!! Fique atento!

Até a próxima!

Escrito por André L.R.Ferreira

Diretor da NETDEEP. Atua há 20 anos no desenvolvimento de produtos e tecnologias de Segurança de Dados para instituições privadas e públicas.

Deixe o seu comentário

netdeep