[bsa_pro_ad_space id=3 delay=8]

Hackers utilizam WhatsApp para roubar números de telefone, aponta pesquisa

A ESET explica como é o roubo de contas, como configurar a autenticação em duas etapas para se proteger e como esse tipo de fraude está crescendo em vários países da América Latina

Compartilhar:

Os cibercriminosos estão roubando contas do WhatsApp associando um número a outro telefone e depois obtendo a senha de verificação que chega por SMS. A ESET detalha como esse roubo é realizado e por que a autenticação em duas etapas é a melhor maneira de evitá-lo.

 

Os golpistas primeiro abrem o aplicativo em outro telefone com o número da vítima e, em seguida, tentam enganá-la usando técnicas de engenharia social para obter o código de verificação. Uma vez que o obtém, acessam a conta e assumem o controle. Neste ponto, a única maneira de evitar o roubo é ter ativada a autenticação em duas etapas. Por isso, é recomendado ter essa opção ativada sempre.

 

Depois de roubarem a conta, eles se comunicam em nome da vítima com seus contatos e realizam outros tipos de golpes, como solicitar dinheiro. Para prevenir ataques de sequestro de conta do WhatsApp, algumas providências devem ser tomadas, como desativar a visualização prévia de mensagens SMS.

 

Além disso, quando as pessoas usam a verificação em duas etapas sem um aplicativo de autenticação, elas tendem a receber códigos enviados por SMS, mas se esses códigos puderem ser vistos em uma tela bloqueada, não funcionam como uma camada adicional de segurança, se o usuário não estiver atento ao telefone.

 

Segundo lugar, nunca se deve perder de vista o telefone ou dispositivo. Inúmeras pessoas adormecem no trem com seus telefones à vista ou até mesmo ao ir ao banheiro em restaurantes, deixam seus telefones rodeados por estranhos ou mesmo nos locais de trabalho.

 

Para alguns dispositivos móveis, também está disponível a opção de Passkeys, que substitui a chave de verificação por SMS pela impressão digital, reconhecimento facial ou pelo próprio PIN do celular.

 

Por fim, a melhor forma de proteger uma conta é ativar a verificação em duas etapas no WhatsApp, pois é simples de configurar e evitará que esse ataque seja bem-sucedido. Uma vez configurada e como uma forma de ajudar a lembrar o número, ao abrir o WhatsApp, ocasionalmente e de forma aleatória, o aplicativo pedirá para inserir o PIN. Isso não acontecerá toda vez que abrir, então não deve ser um inconveniente.

 

“O roubo de contas do WhatsApp não é algo novo, na verdade, é um flagelo que está cada vez mais presente na América Latina. O exemplo do México é paradigmático: nos dois primeiros meses de 2024, o sequestro de contas do WhatsApp cresceu mais de 650% em comparação com os mesmos meses do ano anterior. Mas não é o único”, comenta Fabiana Ramirez, Pesquisadora de Segurança da Informação da ESET América Latina.

 

Incidentes na América Latina

Na Colômbia, os golpistas enviavam mensagens através do WhatsApp, fingindo serem suporte técnico do aplicativo para obter o código de verificação de seis dígitos e roubar a conta. Se a pessoa enviasse esse código, o golpista poderia assumir o controle da conta e ter acesso aos contatos e a parte do histórico de conversas.
Na Argentina, durante a pandemia, usaram como pretexto os turnos de vacinação contra a Covid-19: foram registradas denúncias em que as pessoas alertavam serem contatadas por um telefone com a imagem do Ministério da Saúde da Província de Buenos Aires.

 

Os golpistas solicitavam à vítima que enviasse um código de seis dígitos que receberia por SMS. Supostamente, esse código era para acessar o turno de vacinação, no entanto, trata-se do código que o WhatsApp envia para o número de telefone associado ao aplicativo para verificar que o verdadeiro proprietário da linha está tentando abrir uma conta do WhatsApp em um telefone.

 

Outro exemplo é o de Honduras, onde circulou uma fraude na qual ofereciam dólares a um preço inferior ao preço de venda autorizado pelo Banco Central do país. A mensagem, enviada por um número de telefone verdadeiro de algum conhecido que já havia sido hackeado anteriormente, tornava muito mais fácil cair na armadilha.

 

Conteúdos Relacionados

Security Report | Overview

ANPD é formalizada como coordenadora do Sistema Nacional de Inteligência Artificial

Como órgão de coordenação do SIA, a ANPD receberá novas atribuições. Caberá à Autarquia representar o Brasil perante organismos internacionais,...
Security Report | Overview

Nova ameaça do AllaSenha no Brasil faz setor financeiro entrar em alerta

Novo método de ataque, baseado em infecção de scripts Python e uso de plataforma Azure como Comando e Controle tem...
Security Report | Overview

95% das empresas têm problemas de segurança nas APIs, apura novo relatório

Relatório Salt Security State of API destaca ecossistemas de API em rápido crescimento, o aumento da atividade de ataques e...
Security Report | Overview

Laboratório de threat intel detecta roubo de credenciais em quase 800 empresas globais

O grupo Sophos X-Ops, focado em pesquisas no cenário cibercriminoso internacional, detectou uma nova campanha de comprometimento de credenciais válidas...