Uma oferta tentadora, uma ligação de
um número desconhecido ou até um amigo muito próximo pedindo para que
você pague um boleto. Também pode ser algum familiar pedindo um depósito
bancário para ajudá-lo numa situação difícil. Essas são algumas das
situações mais comuns que envolvem invasões a contas de WhatsApp.
A popularidade do aplicativo de troca de mensagens mais usado no mundo atrai a atenção de hackers e estelionatários.
A BBC News Brasil ouviu especialistas em segurança cibernética e
policiais que atuam na área para entender como são aplicados alguns dos
golpes mais comuns por meio do aplicativo no Brasil. Os especialistas e
o próprio WhatsApp deram dicas para evitá-los.
1) Chip roubado
Um
dos golpes mais difíceis de serem identificados pelas vítimas é o do
chip perdido. Isso porque o golpista rouba o número de telefone de uma
pessoa, bloqueia a linha original e se passa pela vítima para extorquir
dinheiros dos contatos dela.
Mas como isso é feito?
Primeiro, o golpista compra um chip novo e liga para
a operadora se passando pelo dono do chip original. Ele diz que perdeu o
celular ou teve o aparelho roubado. Assim, a central reativa o antigo
número no novo chip. Com isso, o golpista tem acesso aos grupos e à
lista de contatos da pessoa no WhatsApp.
Quando o novo chip é
ativado, o original é bloqueado. Os criminosos fazem isso sem precisar
invadir nenhum dispositivo e correndo pouco risco.
Com o controle
do número, os bandidos entram em contato com amigos e familiares da
vítima para extorqui-los. Na maior parte das vezes, o estelionatário diz
que está precisando de dinheiro com urgência. Entre os argumentos, eles
dizem que precisam pagar um tratamento médico ou quitar dívidas, por
exemplo.
Como a foto e o número de telefone são de uma pessoa de
confiança, muitos caem nesse golpe antes que a vítima consiga
identificar o golpe e avisar seus conhecidos. Algumas vezes, o bandido
ainda extorque o próprio dono do chip para devolver o número.
Como evitar esse golpe?
O
especialista em segurança de dados e diretor de inovação da Mandic
Cloud Bruno Almeida explica que a solução é ativar a verificação em duas
etapas (saiba como abaixo). Com isso, a pessoa que ativa um novo chip
precisará de uma segunda confirmação, por e-mail ou SMS, caso ela tente
acessar o aplicativo de mensagens.
O especialista ressalta que
esse golpe só é possível quando os bandidos tiveram acesso aos dados
pessoais da vítima de alguma forma. Para evitar que isso ocorra, ele
indica cuidado na hora de passar essas informações online.
"Os
funcionários das operadoras pedem uma série de dados pessoais antes de
ativar um novo chip. O ideal é fazer cadastros apenas em sites
conhecidos para evitar que seus dados caiam em mãos erradas. Informações
como nome, endereço, telefone e CPF são suficientes para cometer
diversas fraudes", afirmou.
Ao mesmo tempo, o presidente da
SaferNet Brasil, Thiago Tavares, diz que essas informações podem ser
conseguidas de outras maneiras pelos criminosos.
"Eles usam dados
vazados encontrados na internet. Existem vários bancos de dados em que
você consegue encontrar nome, CPF e data de nascimento de milhões de
pessoas. O próprio governo já foi alvo disso. Um vazamento de dados do
Departamento de Trânsito Estadual do Rio Grande do Norte (Detran) expôs
as informações pessoais de 92 milhões de brasileiros em outubro de
2019", afirmou.
Tavares diz ainda que esse golpe também pode ser
facilitado por funcionários de empresas de telefonia envolvidas no
esquema criminoso.
Autenticação de dois fatores
A
autenticação de dois fatores é uma boa maneira de manter seus dados
mais protegidos. Trata-se de uma camada extra de segurança que garante
que as pessoas que estão tentando ter acesso a uma conta online são quem
elas realmente afirmam ser.
Está disponível não só no WhatsApp, mas em diversos outros aplicativos.
No
WhatsApp, a opção é chamada de "verificação em duas etapas". Para
acessá-la, vá até as configurações do app, entre na opção "conta" e em
seguida "verificação em duas etapas" - tanto em Android como em iOS.
O aplicativo vai pedir para você escolher uma senha de seis dígitos, que será requisitada ocasionalmente.
Para
ativá-la, primeiro é necessário digitar seu nome de usuário. Depois, em
vez de ganhar acesso imediato à conta, é preciso fornecer uma segunda
autenticação: a digital, um comando de voz, uma senha ou um código
enviado por SMS para o seu celular.
"O presidente da SaferNet,
Thiago Tavares, alerta que o melhor é evitar o SMS como fator de
autenticação porque hoje ele pode ser facilmente hackeado."O SMS é
vulnerável aos ataques pois está numa camada de uma rede criada na
década de 1970. Existem diversos tutoriais que ensinam a quebrar essa
proteção. O mais recomendado é cadastrar um email para a dupla
autenticação", afirmou.Para ele, as pessoas deveriam usar a proteção
extra como um hábito em todas as plataformas que a disponibiliza, como
Gmail, Facebook, Instagram e Twitter.
Mais comum em grupos públicos, essa fraude ocorre quando o usuário também quer levar algum tipo de vantagem.
A
fraude ocorre quando o estelionatários oferecem um serviço de recarga
para celular ilimitada a um preço até dez vezes menor que o praticado
pelo mercado. Algumas ofertas prometem planos ilimitados de telefonia
durante um ano por um valor fixo. Também há golpistas que oferecem serviços de IPTV - um programa capaz de liberar até 18 mil canais de TV aberta e fechada do mundo inteiro.
Mas, ao baixar e instalar o aplicativo, o usuário
passa a fornecer diversos dados pessoais e algumas vezes até permite que
o aparelho seja rastreado.
Com isso, o bandido pode ter acesso ao
número de cartão de crédito, contatos pessoais e até arquivos da
vítima, como fotos e vídeos. Com o material em mãos, ele consegue fazer
compras e depois ainda pode usar os arquivos pessoais para extorquir a
vítima, por exemplo exigindo dinheiro para não publicar fotos íntimas na
internet.
Como evitar esse golpe?
Bruno
Almeida, da Mandic Cloud, diz que a primeira coisa a ser feita é ativar
o duplo fator de autenticação para evitar o acesso ao aparelho.
"As pessoas precisam se atentar aos detalhes dos links e aplicativos que elas clicam e compartilham."
Ele
conta que muitas vezes o aplicativo funciona e o usuário não percebe
nenhuma alteração, mas diversos dados pessoais estão sendo
compartilhados sem que o usuário perceba por meio de algum vírus ou
mesmo de maneira autorizada pelo próprio dono do celular durante a
instalação.
"Alguns jogos mandam muitos pop ups para que você
instale outras coisas. Se o usuário conceder com uma permissão que pode
obter mais acesso, ele (hacker) vai conseguir informação privilegiada",
afirmou.
3) Site falso
Um
dos golpes mais antigos da internet se reinventou e se tornou um dos
preferidos dos golpistas durante a Black Friday: o phishing. São
técnicas usadas para enganar e roubar os dados dos usuários. Uma das
maneiras de fazer isso é criar sites falsos para que os clientes
repassem, sem saber, dados a golpistas.
No Brasil, eles criam
correntes falsas e a distribuem massivamente por meio de correntes de
WhatsApp. Geralmente, são promoções de eletrodomésticos e eletrônicos
vendidos a preços muito menores que o habitual.
Ao clicar no link
com a suposta promoção, o usuário é redirecionado para um site idêntico
ao de grandes lojas brasileiras de departamento. Na página, ele tem a
opção de colocar seus dados e comprar o produto, quando finalmente esses
dados são enviados aos bandidos.
Como evitar esse golpe?
Tavares,
da SaferNet Brasil, diz que a pessoa que recebe esse tipo de oferta
tentadora pela internet deve ter calma e paciência para verificar se a
oferta é verdadeira e se a empresa tem uma boa reputação.
"A
primeira coisa é digitar o site manualmente diretamente no browser para
evitar sites clonados. O acesso diretamente por links pode levar a sites
falsos e enganar o comprador. Se a loja realmente estiver fazendo a
promoção, o cliente deve entrar em sites que comprovem a reputação da
empresa, como a plataforma consumidor.gov.br, do Ministério da Justiça, e o Reclame Aqui", orientou.
Ele
diz ainda que é possível confirmar pelo Google Street View se o
endereço registrado pela empresa realmente existe e se ela está no local
informado.
4) Pegasus
O
equipamento de espionagem Pegasus é uma das ferramentas mais elaboradas
para invadir dispositivos móveis sem nenhum tipo de autorização de seu
dono. Criado em Israel, ele é capaz de obter acesso remoto aos arquivos,
microfone e até à câmera de celulares.
Mais recentemente, o
programa Pegasus foi associado a atividades de espionagem da Arábia
Saudita ao jornalista Jamal Khashoggi, morto em outubro de 2018 no
consulado saudita em Istambul, na Turquia.
Uma empresa envolvida
na plataforma, chamada NSO Group, é acusada de ter fornecido o software
espião que permitiu aos assassinos de Khashoggi rastreá-lo. A companhia
nega, no entanto, envolvimento no episódio e refuta as acusações.
Embora
o Pegasus seja envolvido em espionagem, e não propriamente em golpes,
ele coloca em evidência vulnerabilidades do WhatsApp que podem afetar
usuários comuns.
Como evitar esse golpe?
Tavares
diz que ainda não há nenhuma maneira de se proteger dos ataques desse
equipamento. Ele explica que isso ocorre porque o dispositivo
identificou uma falha na segurança no WhatsApp ainda não identificada
pelos técnicos do aplicativo.
O Facebook está tentando processar o NSO Group. A empresa nega, no entanto, qualquer irregularidade.
Em
documentos judiciais, o Facebook acusa a empresa de explorar uma
vulnerabilidade então desconhecida no WhatsApp, usado por
aproximadamente 1,5 bilhão de pessoas em 180 países.
Mas Tavares
afirma que hoje poucas pessoas são alvos dos grupos que detém o Pegasus.
"Como ele é vendido por um valor extremamente alto, ele só é comprado
para espionar pessoas de grande interesse público, como políticos,
jornalistas e ativistas de direitos humanos", afirmou.
Entretanto, Bruno Almeida, da Mandic Cloud, alerta que é possível barrar o funcionamento de outros aplicativos espiões.
"A
maior parte deles só conseguem acesso ao celular após permissão do
próprio dono. Por esse motivo é importante que a gente só ter aplicativo
de empresas sérias e permita o acesso a coisas que façam sentido para
aquilo que você instalou. Por exemplo, você instala aplicativo para
jogar truco e ele pede para acesso ao GPS. Isso não faz muito sentido",
afirmou.
Especialistas também recomendam que o usuário exclua
aplicativos que ele não conheça de seu celular. Eles podem ter sido
instalados no aparelho por alguém que teve acesso a ele para autorizar
algum tipo de espionagem. (BBC News Brasil)
Nenhum comentário:
Postar um comentário