WhatsApp Pay e o duplo fator quebrado do mensageiro

Desde que os meios digitais começaram a ser utilizados para transações bancárias e compras de bens e serviços online, os cibercriminosos perceberam a oportunidade de explorar brechas em sistemas de segurança da informação para cometer fraudes. Infelizmente, as pessoas estão sujeitas a sofrer diversos tipos de golpes, principalmente se elas não tomarem alguns cuidados para evitar esses problemas.

A boa notícia é que, para coibir as ações dos criminosos, os aplicativos agora criaram novas medidas de segurança para proteger os seus meios de pagamento. O WhatsApp Pay é um recurso do aplicativo de mensagens para transferir dinheiro, disponível para todos os seus usuários desde o final de março. Ele permite que os usuários façam transferências de valores ou pagamentos com a mesma facilidade oferecida para enviar uma foto para os seus contatos. 

De acordo com o WhatsApp, esse serviço de pagamentos é protegido por várias camadas de segurança, como o PIN do Facebook Pay ou a biometria em dispositivos compatíveis. Mas, assim como fizeram com o Pix meses atrás, os cibercriminosos já encontraram maneiras de burlar estes recursos para aplicar os seus golpes. Por isso, é preciso ficar atento a algumas medidas de segurança que podem ajudar a tornar o uso dessa ferramenta mais seguro. Até porque alguns golpes só podem ser evitados se a vítima desconfiar das ações dos criminosos ou souber antecipadamente que eles existem.

Neste artigo você encontrará uma análise do funcionamento do WhatsApp Pay e dicas para manter a segurança na hora de usar o aplicativo.

 

Recursos de segurança do WhatsApp Pay

Uma característica do WhatsApp Pay que parece positiva é a utilização de arquitetura P2P (ponto-a-ponto) como meio de pagamento. Essa tecnologia permite que a transferência do dinheiro seja feita de um usuário ao outro sem deixar saldos disponíveis em um e-wallet ou uma conta digital. Isso contribui para evitar ações fraudulentas de criminosos.

Outra vantagem é a exigência de autenticação quando o usuário adiciona um cartão de débito como método de pagamento. Feita com um código temporário, conhecido como OTP (one-time-password), a autenticação é enviada por e-mail ou SMS. Além disso, é preciso configurar um PIN numérico ou biométrico, que deve ser informado no ato do pagamento. Esse passo é obrigatório para completar o processo, garantindo assim, mais segurança para as transações. 

Outra medida importante para evitar a ação dos cibercriminosos é a necessidade de se fazer um novo cadastro para cada dispositivo utilizado. Caso a conta WhatsApp seja instalada em um novo dispositivo, a migração da função de pagamento não é automática. Ou seja, a conta é desativada e o usuário precisa fazer o recadastramento das suas informações financeiras. Essa medida evita que os criminosos comprometam o cartão de débito da vítima, caso a conta seja roubada. Este tipo de golpe, tecnicamente chamado de account takeover, é atualmente um dos mais comuns no Brasil.

 

Saiba mais sobre a Account Takeover

Na tradução literal da língua inglesa, Account Takeover significa “aquisição de conta”. Porém, para uma definição mais exata, o termo poderia ser traduzido para furto de conta. 

A Account Takeover é a ação de se obter ilegalmente acesso às contas bancárias das pessoas e, por meio de alterações nas credenciais de login, fazer com que a vítima fique sem acesso aos próprios recursos financeiros e informações. Em outras palavras, trata-se de uma invasão seguida de furto.

A grande diferença dessa nova modalidade de golpe é que quem tem o perfil clonado ou falsificado não fica sabendo que os criminosos estão usando a sua identidade para aplicar a extorsão. Isso ocorre porque os bandidos já tiveram acesso a dados pessoais das vítimas.

Para facilitar as fraudes, os criminosos compram bancos de dados com informações pessoais, como endereços, telefone, local de trabalho, preferências de lazer e indicações de pessoas próximas. Existem criminosos especializados em comercializar essas informações, chamados de Data Brokers.

Para se proteger contra esta prática, são necessárias diversas medidas de segurança, como o uso de senhas fortes, de programas antivírus nos dispositivos e cuidados ao fornecer dados sensíveis a terceiros. Além disso, já existem ferramentas que usam grandes bases de dados para detectar e alertar pessoas sobre vazamentos de dados ou tentativas suspeitas de acesso a contas particulares e restritas.

 

Engenharia social requer participação da vítima

Outro golpe muito comum usado para roubar a conta do WhatsApp é o uso de técnicas de engenharia social para convencer a vítima a informar o código de instalação temporário (OTP), que é enviado por SMS quando uma instalação é iniciada. Caso a vítima informe a sequência de seis números, o cibercriminoso consegue concluir a ativação da conta no novo aparelho e passa a ter acesso às mensagens e contatos daquela pessoa. Em seguida, ele entra em contato com amigos e familiares dela para pedir dinheiro emprestado. 

Ter um método de transferência financeira na plataforma poderia potencializar essa prática. Felizmente, os recursos de segurança do WhatsApp Pay conseguem bloquear esse tipo de golpe. 

Mesmo assim, existe um tipo de ataque do qual não há como se proteger: o SIM swap. Essa tática é muito usada para roubar as contas, transferindo o número do telefone para um novo chip em branco. Para isso, o fraudador compra um chip em branco e ativa o número da vítima. Desse modo, ele consegue recuperar senhas de contas via SMS e até acessar a conta do WhatsApp. Se o atacante conseguir acesso ao e-mail da vítima, ele pode até mesmo recuperar o backup das conversas no aplicativo de mensagens.

Ativar uma linha em um chip em branco não é tão complicado quanto parece. Afinal, essa opção é oferecida por todas as operadoras e serve para casos como perda de chip ou roubo do celular. Em tese, somente o titular da linha poderia fazer essa troca. Porém, esse tipo de fraude geralmente é possível devido a um conluio entre o fraudador e algum agente da operadora, que permita a troca de linha no chip.

 

Criminosos conseguem burlar a dupla autenticação do WhatsApp

Para roubar o WhatsApp dos usuários (account takeover), os cibercriminosos podem utilizar várias estratégias: confirmação de um anúncio, convite para festa VIP e até um clone da conta roubando a foto da vítima.

Esse golpe é executado em duas etapas: a primeira visa roubar a credencial de ativação do WhatsApp, e a segunda desabilita a senha que serve de dupla autenticação. 

Para evitar o golpe, a única maneira é ativar a confirmação em duas etapas, em que o usuário cria uma senha pessoal solicitada no momento da instalação. Porém, um esquema de engenharia social e uma solicitação ao suporte do WhatsApp podem ser usados para burlar essa proteção.

No esquema, a vítima geralmente recebe uma ligação do criminoso, que se apresenta como representante do Ministério da Saúde e pergunta se pode realizar uma pesquisa sobre a Covid-19. O objetivo é fazer com que o usuário passe o código de seis números enviado via SMS para “confirmar a realização da pesquisa”. Se a vítima não prestar atenção na mensagem e informar o código, a conta dela pode ser roubada.

Para desabilitar a senha que serve de dupla autenticação, o golpista primeiro acessa a tela que solicita a senha da autenticação em duas etapas. Quando isso acontece, ele encerra a ligação da suposta pesquisa e liga novamente para a vítima. Porém, dessa vez, ele se passa pelo suporte do aplicativo de mensagens e diz que a empresa identificou uma atividade maliciosa na conta. Em seguida, ele orienta a vítima a acessar o seu e-mail para refazer o recadastro da dupla autenticação.

A vítima, de fato, recebe uma mensagem de e-mail legítima do aplicativo de mensagens com o título “Two-Step Verification Reset” (Resgate da Verificação em Duas Etapas) e um link para desabilitar a proteção adicional. Tanto a mensagem quanto o link para recuperar a dupla autenticação são legítimos, ou seja, foram enviados pelo aplicativo. Da mesma forma que podemos solicitar a recuperação de uma senha em uma loja online, podemos pedir a recuperação da dupla autenticação do app de mensagens, caso a senha seja esquecida. O golpe se vale de engenharia social, forçando as vítimas a clicarem no link recebido por e-mail.

O criminoso permanece na linha, enquanto a vítima acessa o e-mail e o link. Porém, a página de destino, na verdade, realiza a desativação da autenticação em duas etapas. O objetivo é permitir que a pessoa crie uma nova senha ao ativar a função novamente. Porém, o criminoso aproveita que a conta está desprotegida e usa o código temporário recebido na primeira ligação para fazer a instalação da conta WhatsApp em um outro dispositivo. Desse modo, ele consegue prosseguir com o golpe, entrando em contato com amigos e familiares para pedir dinheiro.

 

Como ativar a dupla autenticação no WhatsApp

Para ativar esse código de seis dígitos, siga os seguintes passos:

  • Vá ao menu “Configurações” no canto superior direito do aplicativo;
  • Entre na opção “Configurações”;
  • Em seguida, clique em “Conta”;
  • Selecione “Confirmação em duas etapas”;
  • Crie um código de seis dígitos, que será a sua dupla autenticação;
  • Solicite que o seu número seja retirado das listas de IDs de aplicativos que identificam chamadas, pois eles podem ser usados pelos criminosos para encontrar o seu número a partir do seu nome;
  • Jamais desative a autenticação de dois fatores, a não ser que você esqueça a senha e faça essa solicitação.

 

Dicas de segurança para uso do WhatsApp

Outras ações podem ajudar a diminuir a chance de fraudes e ataques de roubo de contas:

  • Em caso de perda ou roubo do aparelho, reative a sua conta do WhatsApp o mais rapidamente possível. O processo desativará o WhatsApp Pay no smartphone perdido ou roubado. Caso não faça o procedimento, o golpista terá a chance de cometer fraudes com a conta da vítima.
  • Faça uso de um PIN numérico na autenticação dos pagamentos. Isso é feito com o sistema operacional do smartphone e o uso da digital já cadastrada. Em caso de roubo do aparelho, um golpista pode cadastrar uma nova digital caso a tela não esteja bloqueada. Com isso, ele passa a ter acesso ao WhatsApp Pay e pode transferir dinheiro usando o cartão cadastrado.
  • Tenha uma solução de segurança instalada no dispositivo que bloqueie remotamente o smartphone em caso de perda ou furto. Essa medida protege o usuário contra golpes que acessam remotamente o aparelho, como os trojans Ghimob e BRata, que são capazes de realizar transações financeiras sem o conhecimento do proprietário.
  • Ative os recursos de proteção do WhatsApp, principalmente a autenticação de dois fatores, para diminuir a chance de fraudes. Outros recursos importantes são a adição de um e-mail na conta do WhatsApp para evitar golpes via central de suporte, bem como ativar o bloqueio do app por meio de um PIN numérico. 

 

A tecnologia evolui sempre para nos trazer mais comodidade e benefícios, mas como toda ferramenta, pode ser usada por pessoas mal-intencionadas.

Por isso, ter conhecimento das fraudes é uma das melhores formas de se prevenir. Compartilhe este artigo em suas redes sociais e ajude as pessoas a se protegerem de golpes.

Compartilhe este artigo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email
Share on telegram

Confira os próximos assuntos

Soluções EDR e XDR aumentam a segurança dos endpoints

Segundo uma pesquisa da Kaspersky, cerca de 40% das médias e grandes empresas não têm informações suficientes sobre as ameaças complexas que enfrentam. Esses incidentes podem interromper processos essenciais aos negócios, prejudicando a produtividade e aumentando os custos operacionais.
Saiba como EDR e XDR podem ajudar.