O blog Segurança Digital do G1 recebeu relatos de leitores que elucidam algumas das técnicas utilizadas por golpistas para conseguir convencer as vítimas a informar o número de confirmação do WhatsApp e com isso ativar o aplicativo em outro telefone, roubando a conta para tentar aplicar golpes em contatos.
Os criminosos podem se aproveitar de informações
públicas, como anúncios na web, e enviar mensagens falsas em nome dos serviços.
Isso faz a vítima pensar que um serviço que ela de fato usa está solicitando
alguma verificação de conta. Porém, nesse momento, o criminoso já iniciou o
processo de ativação do WhatsApp em outro celular.
O diferencial das fraudes realizadas dessa maneira é que
elas não envolvem o roubo da própria linha de telefonia celular, apenas o
WhatsApp.
Para ativar o WhatsApp em um celular, basta informar o
código recebido por torpedo SMS. Em uma ativação regular, o torpedo é recebido
no mesmo celular em que o WhatsApp será ativado. Contudo, o WhatsApp também
pode ser ativado em outro aparelho — inclusive um aparelho sem chip de telefonia
— desde que seja digitado o código enviado ao número informado na ativação.
Os criminosos iniciam o processo de ativação informando o
número de suas vítimas. Ao mesmo tempo, eles podem telefonar para a vítima ou
enviar mensagens SMS informando sobre alguma verificação ou atualização de
cadastro. Quando a vítima checar sua caixa de mensagens, lá estará o código de
ativação do WhatsApp.
Se esse número for informado ao golpista, seja por SMS ou
outro meio, ele conseguirá finalizar a ativação e o WhatsApp será desativado no
telefone da vítima.
Verificação em duas etapas 'inimiga'
Para coibir golpes que envolvem o roubo da linha
telefônica, o WhatsApp criou a verificação em duas etapas. Quando ela está
configurada, é preciso digitar uma senha para confirmar a ativação e o código
recebido por torpedo, sozinho, não basta.
Conta fica bloqueada por ao menos 6 dias após golpistas
configurarem o PIN, impedindo usuário de reaver a conta nesse período.
Os criminosos estão utilizando esse recurso de segurança
para impedir que as vítimas da fraude recuperem suas contas. Após o WhatsApp
ser roubado, eles configuram a verificação de duas etapas na conta.
Quando a vítima tentar reativar o WhatsApp do seu próprio
número em seu telefone, será solicitada a senha criada pelos criminosos. Isso
impossibilita a recuperação da conta.
Como se proteger
A verificação em duas etapas adotada pelo WhatsApp é
muito útil para aumentar a proteção da conta se for usada pelo próprio dono da
linha. Como o PIN configurado precisa ser digitado regularmente (e não apenas
ao ativar a conta), a chance de você se esquecer da senha é menor.
É importante que a senha não seja uma informação pessoal
(como o a data de nascimento) e, principalmente, não use os próprios números do
seu telefone.
Códigos de autenticação recebidos por SMS não devem ser
compartilhados por nenhum meio. Eles devem ser apenas fornecidos aos serviços
que os solicitaram, seja em um aplicativo ou em um site da web, e não por
telefone, e-mail ou SMS. Também deve ser verificado que o código pertence ao
mesmo serviço: o WhatsApp, por exemplo, identifica a origem da mensagem.
A configuração da senha no WhatsApp diminui o risco de um
pequeno momento de desatenção acarretar no roubo total da conta, porque vai
impedir que o criminoso ative o seu WhatsApp no celular dele, mesmo que você
tenha fornecido o número de confirmação por acidente ou que sua linha tenha
sido roubada.
O blog perguntou ao WhatsApp quais são as orientações
para as vítimas que perderam seu número com esses golpes. A empresa não
forneceu uma resposta até a publicação desta reportagem.
G1
