Um novo golpe que está “roubando” contas de WhatsApp de diversos usuários chamou a atenção da empresa de segurança Kaspersky devido à sua criatividade: não há emprego de qualquer malware ou programa malicioso, mas os hackers por trás da ação atacam especificamente pessoas que tenham anunciado algum produto à venda por plataformas de classificados de internet.
A metodologia é simples, porém engenhosa: os hackers monitoram plataformas de vendas onde vítimas em potencial tenham postado anúncios referentes a algum produto. De posse das informações do anúncio, eles entram em contato com a pessoa via WhatsApp, se passando pela plataforma de vendas, dizendo que precisam confirmar alguns dados ou então que o anúncio vem recebendo um alto número de reclamações. Em ambos os casos, eles pedem que o usuário confirme um código numérico recebido via SMS.
“Quando a vítima responde à mensagem, o fraudador começa o processo de ativar o WhatsApp em um novo celular e o suposto código de verificação é, na verdade, o código de ativação da conta. Se ela não prestar atenção, acaba passando o número e tem seu WhatsApp roubado em minutos”, explica Fabio Assolini, analista sênior de segurança da Kaspersky Lab no Brasil.
A segunda parte do golpe é a mesma utilizada pelos criminosos que estão clonando celulares no Brasil. Nela, enviam mensagens para os contatos mais recentes, que normalmente são amigos próximos ou familiares da vítima, pedindo um empréstimo para uma despesa urgente. Se a pessoa tenta ajudar, o criminoso só precisa descobrir o banco de preferência da vítima e acionar um laranja, que terá uma conta na mesma instituição.
“Além de ter atenção, só há uma maneira de evitar este esquema com tecnologia: a dupla autenticação do WhatsApp. É uma senha que o usuário cria e é solicitada de vez em quando pelo app. Mesmo que a vítima informe o código de ativação, o criminoso terá de pedir a senha da dupla autenticação – isto já sai do contexto do anúncio e a pessoa pode perceber a fraude antes de ser tarde demais”, alerta Assolini.
O especialista ainda alerta para o fato de que o golpe é tão engenhoso que vem enganando até mesmo profissionais da tecnologia. Devido à ausência de malwares e executáveis maliciosos, até mesmo quem é do setor se vê vítima dessa engenharia social: “Neste fim de semana, encontrei um amigo que trabalha com desenvolvimento de software e que caiu nesse golpe. Ele havia acabado de postar um anúncio e foi contatado. Foi surpreendente, pois tem conhecimentos de segurança e mesmo assim foi iludido”, ele conta.
A Kaspersky elencou algumas das empresas cujos nomes vêm sendo usados nos golpes, destacando plataformas renomadas como OLX, Zap Imóveis e Webmotors.
É importante ressaltar que, nestes casos, não há um antivírus ou solução de segurança que prontamente defenda as vítimas em potencial: engenharia social se combate com atenção e o não fornecimento de dados dos clientes. “Embora não haja uma solução milagrosa, sugiro que as empresas reavaliem o uso de autenticação de dois fatores via SMS e as informações dos usuários que são expostas publicamente por padrão. Frente à criação deste esquema malicioso, é importante criar uma solução benéfica para os usuários e que também mantenham suas privacidades protegidas das pessoas mal-intencionadas”, avalia Assolini.
Posicionamento oficial
A OLX, por meio da sua assessoria de imprensa, emitiu um comunicado oficial a respeito do caso. Confira o texto na íntegra:
A OLX esclarece que não teve acesso a detalhes destes casos e, por isso, não foi possível investigar ou tomar as devidas providências. A empresa reitera que sua atividade consiste na disponibilização de espaço para que usuários possam anunciar e encontrar produtos e serviços de forma rápida e simples.
A OLX reforça que está sempre à disposição das autoridades para colaborar no que for necessário para a apuração dos fatos. O objetivo da empresa é que os usuários tenham a melhor experiência possível e, por isso, envia mensagens informativas esclarecendo que a solicitação de códigos de confirmação/códigos de segurança, dados cadastrais e pessoais não é uma prática adotada pela OLX em nenhuma situação. Esta informação também está disponível nas páginas de ajuda do site, além de outras dicas para o momento da negociação:
- Nunca compartilhe os códigos de validação e segurança que chegam em seu celular;
- Na OLX não é necessária validação com código de segurança para utilização do chat da plataforma;
- A OLX nunca pedirá informações que permitam acesso à sua conta via chat, telefone, SMS, whatsapp e redes sociais;
- Verifique a origem de um link e se o mesmo é confiável antes de clicar.