O velho golpe do sequestro de perfil do WhatsApp ficou ainda mais sofisticado. Os criminosos desenvolveram táticas de manipulação para conseguir acessar a conta até de quem já habilitou a autenticação em duas etapas —que era o melhor jeito até então de evitar que seus contatos passassem dinheiro para o golpista, que fingia ser você.

Eles usam a chamada engenharia social, ou seja, não precisam quebrar as barreiras de segurança, mas dar um jeito de te convencer na lábia a fornecer dados que facilitam a invasão.

O ataque começa com uma ligação, em que o criminoso se apresenta como representante do Ministério da Saúde e simula uma pesquisa sobre a covid-19. Ao fim do contato, ele diz que o entrevistado precisa informar um código enviado por SMS para confirmar que a pesquisa foi realizada.

Essa é a primeira etapa do novo golpe: se a vítima divulgar o código e não tiver a autenticação em duas etapas habilitada, a conta pode ser roubada só com esse dado.

Quando o golpista percebe que precisa da senha da autenticação em duas etapas, adiciona uma segunda fase do golpe. Após encerrar a ligação, o criminoso entra em contato com a vítima novamente como se fosse da equipe de suporte do WhatsApp e informa que identificou uma atividade maliciosa na conta.

Em seguida, diz que enviou um email para que o usuário possa recadastrar a dupla autenticação.

A vítima recebe uma mensagem legítima do WhatsApp com o título “Two-Step Verification Reset” (Redefinição da Verificação em Duas Etapas). Ali, encontra um link que desabilita a proteção adicional.

“O golpe se vale de engenharia social, pois força a vítima a clicar no link recebido por email e fica aguardando na linha enquanto a vítima acessa o link que desativa temporariamente a proteção”, explica Fabio Assolini, pesquisador sênior de segurança da Kaspersky.

O golpista então aproveita que a conta está desprotegida e usa o código recebido na primeira ligação para instalar o perfil em outro celular e seguir com o golpe. Entra em contato com amigos e familiares da pessoa e começa a pedir dinheiro.

Como evitar ser vítima

Especialistas são unânimes em dizer que a ativação da autenticação em duas etapas continua a ser fundamental para não ser vítima de golpes na plataforma.

“Ela cria uma camada a mais de proteção”, diz Arthur Igreja, especialista em tecnologia e segurança digital. “Nesse golpe, o problema não é a autenticação em duas etapas, é a engenharia social, que leva a vítima a sabotar sua própria conta. Se deixar de usá-la, o usuário se expõe ainda mais.”

Veja mais aqui.