 |
| Imagem: Justin Sullivan/Getty Images/AFP |
Imagine um cibercriminoso ter acesso à sua conta de
WhatsApp. Saber que alguém tem acesso a todos os seus contatos, conteúdos
salvos e conversas já seria horrível suficiente. Mas imagine que tudo isso
ocorreu com uma ajudinha sua.
O alerta sobre um novo tipo de golpe contra usuários do
aplicativo de bate-papo foi feito pelo laboratório de pesquisa ESET América
Latina, empresa presente em 180 países e com escritório em cidades como São
Paulo.
Especializado em detectar ameaças no ambiente virtual, o
grupo descobriu que o sequestro das contas de WhatsApp é feito por meio de um
ataque conhecido como QRLjacking.
A ação se aproveita de técnicas de engenharia social para
atacar não apenas o WhatsApp, como outros aplicativos que usam um código QR
para registro e uso em um computador.
No caso do WhatsApp, o QR é gerado quando o usuário
acessa o aplicativo no desktop, por meio do endereço oficial
(https://web.whatsapp.com).Quando esse código é escaneado, o usuário pode
acessar sua conta no computador – o que pode facilitar a vida incrivelmente,
dependendo do propósito e/ou do volume de conteúdo a ser tratado. É o famoso WhatsApp
Web.
É exatamente por meio dessa função que os hackers atacam,
informa a ESET: eles convencem as vítimas a escanear um código QR enganoso,
que, em vez de apresentar uma página oficial do WhatsApp, exibe uma página
falsa que tenta sequestrar a sessão de WhatsApp dos usuários.
O laboratório de pesquisa lembra que o código QR é uma
imagem que, uma vez interpretada, pode conter uma URL ou qualquer outra
informação capaz de ser compreendida pelo dispositivo. O WhatsApp usa esse
código para conceder o acesso dos usuários ao sistema de mensagens sem qualquer
outro tipo de validação adicional.
Sabendo dessa particularidade, os cibercriminosos foram meticulosos: desenvolveram ferramentas capazes de capturar e armazenar a imagem do código QR gerada pelo WhatsApp e criam um novo código, do mesmo tipo, para mostrar à vítima.
Sabendo dessa particularidade, os cibercriminosos foram meticulosos: desenvolveram ferramentas capazes de capturar e armazenar a imagem do código QR gerada pelo WhatsApp e criam um novo código, do mesmo tipo, para mostrar à vítima.
Feita a invasão, a sessão do usuário é armazenada no
computador do hacker e ele pode usá-la da maneira como quiser. Detalhe: o
“sequestro” da conta ocorre sem que o uso do aplicativo no celular da vítima
seja necessariamente interrompido.
A ESET adverte que todos os aplicativos que usam o código
QR podem sofrer ataques semelhantes. Daniel Barbosa, especialista em segurança
da informação da ESET América Latina, aponta que uma alternativa possível seria
aumentar o nível de controle para o código QR ser usado com maior segurança.
“Há também a necessidade de conscientização por parte dos fabricantes para que
os dados dos usuários sejam cada vez mais protegidos e os aplicativos tenham
mais recursos voltados para a segurança de todos”, definiu.
Dicas de segurança
A empresa sugere algumas ações que servem como dicas para
evitar o sequestro da conta:
·Use
redes públicas ou não confiáveis o mínimo que puder, pois ataques como esse em
geral acontecem quando o cibercriminoso está na mesma rede que suas vítimas. Se
precisar usar redes públicas, evite acessar informações que não são
extremamente necessárias naquele momento.
·Conheça
os aplicativos que utiliza e suspeite se algum anúncio pedir para digitalizar o
código QR em troca de algum benefício ou como parte de um processo além da
validação. No caso do WhatsApp, o código QR serve exclusivamente para permitir
que o aplicativo seja usado no computador.
·Não
bobeie: mesmo em redes consideradas seguras, manter a atenção é sempre uma
prática recomendada para ao menos ajudar a evitar diferentes tipos de
incidentes de segurança.
·Fique
atento para a resposta do app ao seu comando: se escanear um código e não
receber nenhuma ação em resposta, provavelmente você sofreu um ataque. Se tiver
dúvidas, vá à tela principal do WhatsApp, selecione a opção “WhatsApp Web” e
encerre todas as sessões que foram iniciadas. Isso derruba o acesso de
criminosos à conta imediatamente.
·Mantenha
ativados todos os programas de segurança: tenha esses mecanismos sempre
configurados para bloquear ameaças, tanto no smartphone quanto no computador.
·Mantenha
programas e aplicativos usados constantemente atualizados: em geral, as
atualizações trazem novos recursos e corrigem eventuais falhas de segurança dos
programas.
UOL
