Basta inserir a palavra “espionar” em um mecanismo de busca e, entre outras opções, sugere-se “espionar WhatsApp”, obtendo-se um grande número de resultados. Mas, antes de acessar, é importante saber se você pode realmente confiar em todas as opções que prometem espionagem do WhatsApp de outra pessoa, se essas “ferramentas” cumprem o que prometem e quais são os riscos de infecção por malware. O laboratório da ESET, analisou algumas opções que prometem espionar o WhatsApp e compartilha alguns resultados sobre segurança da informação.
“Dado o número de usuários que estão dispostos a tentar algumas das muitas alternativas que aparecem nos primeiros resultados do Google ao procurar como espionar o WhatsApp ou o telefone de outra pessoa, nos pareceu importante analisar algumas dessas opções para aumentar a conscientização sobre os riscos para a privacidade e segurança de tentar essas alternativas. Em primeiro lugar, é importante mencionar que os sites e extensões que analisamos não cumprem o que foi prometido e buscam enganar a grande quantidade de usuários que se lançam na web em busca de opções para espionar o telefone de outra pessoa. Mesmo que não tenhamos detectado a distribuição de ameaças de computador que tentam comprometer os dispositivos dos usuários (a maioria deles busca distribuir publicidade), muitas têm potencial para isso”, afirma Daniel Barbosa, pesquisador da ESET na América Latina.
A ESET analisou sites que oferecem espionagem no WhatsApp, extensões de navegador que prometem o mesmo e, finalmente, aplicativos:
Sites que oferecem a espionagem do WhatsApp: eles prometem acessar todas as informações da conta gratuitamente. Na maioria das vezes, exigem o número do WhatsApp da pessoa a ser monitorada e qual sistema operacional o usuário que deseja espionar a outra pessoa está usando.
Todos os sites analisados têm praticamente a mesma estrutura e o final é muito semelhante: uma tela que simula que muitos comandos estão sendo executados para acessar as informações do número de telefone fornecido, mas na realidade não executa nada. São apenas textos já programados na página e nenhum tráfego é gerado quando as informações são inseridas nos campos.
“Embora alguns desses sites exibam imagens que podem parecer convincentes aos olhos crédulos, o que esses sites oferecem é uma mentira. Seria um dano irreversível à imagem do WhatsApp se os sites pudessem realmente acessar as informações criptografadas de seus clientes simplesmente digitando um número de telefone”, completa o especialista.
Até o momento, nenhum código malicioso foi encontrado nesses sites, então o objetivo de quem oferece o serviço é coletar informações. Para utilizar o site é necessário inserir um número de telefone e indicar o sistema operacional utilizado. Essas informações podem ser úteis se os criminosos quiserem espalhar ameaças a alvos específicos por meio de um número de telefone. As informações do sistema operacional também podem ser usadas para alterar posteriormente o site para espalhar malware específico para uma determinada versão do Windows, por exemplo.
O segundo benefício possível está na publicidade. Para ter acesso aos supostos dados coletados da conta para espionagem, é necessário seguir alguns passos adicionais que levam a vários sites, também sem código malicioso aparente, mas cheios de publicidade. Para cada acesso, os criminosos ganham uma pequena quantia de dinheiro com publicidade, e esses acessos simples alimentam a indústria do crime cibernético.
Extensões para o navegador: foi analisada uma extensão para o Chrome que também afirmava ser capaz de acessar as informações de uma conta do WhatsApp. A descrição disponibilizada na extensão indica que os usuários devem instalá-la no navegador ou consultar um site que fará o mesmo. É, claro, outra falsa promessa
Instalar a extensão não é um código malicioso, mas outro gerador de cliques. Ela mostra uma pequena página da web em forma de botão que direciona para um endereço que oferece falsos serviços relacionados ao YouTube, como aumentar o número de assinantes de um canal, o número de curtidas, favoritos e outros. Para isso, basta preencher a URL do canal que deseja este serviço. Ao escolher qualquer uma das opções, o site pede para fazer uma verificação, que consiste em responder um questionário em páginas cheias de anúncios. Esses anúncios são atualizados a cada pergunta, aumentando os lucros para os criminosos que procuram monetizar suas campanhas.
Barbosa acrescenta: “Ainda que, no momento da análise desta extensão, ela não apresentasse características maliciosas adicionais, os perigos que a instalação de uma extensão acarreta são muito maiores do que os que mencionei anteriormente. A instalação de software em seu navegador pode trazer várias complicações. Além da possibilidade de alterar o funcionamento do próprio navegador, este software pode ser utilizado como ferramenta para baixar outros programas maliciosos sem que o usuário perceba. Não seria a primeira vez que os invasores usariam extensões se passando por ferramentas legítimas para realizar ações maliciosas”.
Aplicativos: os apps de monitoramento de smartphones são oferecidos no mercado como ferramentas para aumentar a segurança dos dispositivos, permitindo que seus proprietários os gerenciem remotamente. A ESET refere-se a dois tipos principais de aplicativos: o mais genérico, e geralmente gratuito, e os aplicativos de monitoramento e controle.
Existem muitos aplicativos que oferecem uma função de clonagem ou rastreamento, mas na realidade eles só usam a interface de um aplicativo para usar uma função já disponível no próprio WhatsApp, como o uso do WhatsApp web. Existem também aplicativos que rastreiam a atividade dos contatos online, fornecendo um determinado nível de informação, como um histórico de quando os contatos estavam online e offline. No entanto, o risco que carregam é semelhante ao das extensões do navegador, com o agravante de que o risco está vinculado ao telefone, que é onde a maioria das pessoas armazena os dados mais confidenciais.
Aplicativos de monitoramento e controle: interceptar comunicações de terceiros ao instalar e/ou usar esses apps sem consentimento e autorização é ilegal na maioria dos países do mundo, embora alguns permitam usar esses aplicativos como ferramenta de controle dos pais ou por empregadores. Ainda que existam aplicativos que foram projetados para serem usados com o consentimento da outra pessoa e para fins de segurança, outros afirmam ser oferecidos para a mesma finalidade, mas suas descrições na verdade se referem à espionagem sem consentimento.
Para entender o interesse que esses tipos de aplicativos despertam, entre 2019 e 2020 o crescimento na utilização desse tipo de aplicativos cresceu quase 50%. Outro dado relevante relacionado à segurança e privacidade deste tipo de aplicativo foi fornecido por uma investigação recente da ESET em que mais de 58 apps espiões foram analisados e foi descoberto que muitos possuem um grande número de vulnerabilidades que representam um risco para a privacidade, tanto de pessoas espionadas quanto de quem espia.
Esses tipos de aplicativos geralmente têm duas abordagens principais: permitir que seus usuários controlem seus dispositivos remotamente e fornecer um monitoramento de atividades para exercer algum controle.
No caso de controle dos pais, onde há um dispositivo que precisa ser monitorado e que tem as permissões necessárias para usar esses tipos de aplicativos: como escolher um aplicativo adequado quando há tantos aplicativos potencialmente perigosos que não cumprem o que prometem? A ESET compartilha estas diretrizes para ajudá-lo a fazer sua escolha:
• Tenha cuidado com ferramentas ou serviços online populares: cuidado com as soluções que prometem que funcionarão com extrema facilidade, sem a necessidade de instalar nada, e tudo diretamente do navegador. Para que uma ferramenta realmente permita o monitoramento exclusivamente pelo navegador, seria necessário explorar uma vulnerabilidade.
• Proteja-se: lembre-se sempre de usar uma solução de segurança nos dispositivos (computador, smartphone, tablet, etc.). Isso permitirá que várias camadas de proteção evitem que uma ameaça comprometa um dispositivo se detectar um malware enquanto procura o aplicativo que você realmente deseja.
• Investigue: sempre haverá ofertas das chamadas soluções milagrosas que prometem fazer algo que parece impossível e, na verdade, muitas vezes é impossível. Essas ofertas nunca serão oferecidas por empresas sérias. Procure a reputação de quem oferece um produto ou serviço, entre no site da empresa, veja se tem serviço de atendimento.