Cibercriminosos já conseguem roubar contas de WhatsApp sem usar malwares. Foi o que descobriu uma pesquisa da Kaspersky Lab. A empresa observou o crescente número de relatos de usuários que se queixam de ter perdido contas no mensageiro e elaborou um estudo a partir disso. Concluiu que os criminosos utilizam engenharia social para enganar suas vítimas.

Os ladrões monitoram as plataformas de venda pela internet e miram quem cria anúncios de produtos. Então, enviam uma mensagem como se fossem da plataforma de vendas. “Verificamos um anúncio recém-postado e gostaríamos de atualizar seus dados para que continuem disponíveis para visualização” ou “Em razão do grande número de reclamações referentes a seu número de contato, estamos verificando”. As mensagens pedem que a vítima informe o código recebido por SMS.     

“Quando a vítima responde à mensagem, o fraudador ativa o WhatsApp em um novo celular e o suposto código de verificação é, na verdade, o código de ativação da conta. Se não prestar atenção, passa o número e tem seu WhatsApp roubado em minutos. O Facebook (controlador do WhatsApp) anunciou na semana passada novas medidas de segurança para esse tipo de caso”, explica Fabio Assolini, analista sênior de segurança da Kaspersky Lab no Brasil.

A segunda parte do golpe é a mesma utilizada por criminosos que clonam celulares no Brasil. Eles enviam mensagens para os contatos mais recentes — normalmente amigos próximos ou familiares da vítima — e pedem um empréstimo para uma despesa urgente.

Não há um padrão para a quantia, mas nas mensagens a que os especialistas tiveram acesso, o pedido era de R$ 2.100. Se a pessoa se dispuser a ajudar, o criminoso pergunta “qual o banco mais fácil para você” e, em seguida, envia os dados da conta bancária de um laranja. Até o proprietário recuperar o acesso ao WhatsApp, os ladrões já tiveram tempo de falar com diversas pessoas.

“Além de ter atenção, só há uma maneira de evitar o esquema: com a tecnologia de dupla autenticação do WhatsApp. É uma senha criada pelo usuário e que é solicitada de vez em quando pelo app. Mesmo que a vítima informe o código de ativação, o criminoso terá de pedir a senha da dupla autenticação — isso sai do contexto do anúncio e a pessoa pode perceber a fraude antes de ser tarde demais”, alerta Assolini.

Durante o golpe, não é usado nenhum programa malicioso para coletar as informações nos sites de venda ou roubar a conta da vítima no app de mensagens. Os especialistas dizem que processos desse tipo são “baseados 100% em engenharia social” e utilizam recursos legítimos.

Além disso, os anúncios permitem uma abordagem muito convincente. “Neste fim de semana, encontrei um amigo que trabalha com desenvolvimento de software e que caiu nesse golpe. Ele havia acabado de postar um anúncio. Foi surpreendente, porque ele tem conhecimentos de segurança e, mesmo assim, foi iludido”, destaca o analista.

Até o momento, foram identificadas mensagens em que os criminosos se passam por OLX, Webmotors e Zap Imóveis. “Embora não haja uma solução milagrosa, sugiro que as empresas reavaliem o uso de autenticação de dois fatores via SMS e as informações dos usuários que são expostas publicamente por padrão. Com a criação desse esquema malicioso, é importante oferecer uma solução benéfica para os usuários que mantenha sua privacidade protegida de pessoas mal-intencionadas”, avalia.

ATUALIZAÇÃO: Sobre o caso, a OLX entrou em contato com o Olhar Digital para informar que, sem acesso aos dados específicos relacionados a este tipo de golpe, a empresa não consegue apurar e tomar providências. Confira o comunicado na íntegra:

A OLX esclarece que não teve acesso a detalhes destes casos e, por isso, não foi possível investigar ou tomar as devidas providências. A empresa reitera que sua atividade consiste na disponibilização de espaço para que usuários possam anunciar e encontrar produtos e serviços de forma rápida e simples.

A OLX reforça que está sempre à disposição das autoridades para colaborar no que for necessário para a apuração dos fatos. O objetivo da empresa é que os usuários tenham a melhor experiência possível e, por isso, envia mensagens informativas esclarecendo que a solicitação de códigos de confirmação/códigos de segurança, dados cadastrais e pessoais não é uma prática adotada pela OLX em nenhuma situação. Esta informação também está disponível nas páginas de ajuda do site, além de outras dicas para o momento da negociação:

  • Nunca compartilhe os códigos de validação e segurança que chegam em seu celular;
  • Na OLX não é necessária validação com código de segurança para utilização do chat da plataforma;
  • A OLX nunca pedirá informações que permitam acesso à sua conta via chat, telefone, SMS, whatsapp e redes sociais;
  • Verifique a origem de um link e se o mesmo é confiável antes de clicar.

Mais dicas estão disponíveis no link: https://go.olxbr.com/dicas-vender-olx   

Vale lembrar que a OLX também disponibiliza um botão de denúncia em todos os seus anúncios e contatos no chat, possibilitando que qualquer pessoa denuncie eventuais práticas irregulares ou conteúdos indevidos.