Alguns passos simples podem ampliar a segurança no uso do WhatsApp e Telegram e prevenir golpes que podem levar ao roubo da conta no mensageiro – e a uma baita dor de cabeça.
Por sua popularidade, os aplicativos são alvo de frequentes ataques de hackers. A adoção de medidas como a autenticação em dois fatores (entenda abaixo como ativar o recurso) podem ajudar a reduzir os riscos, embora não exista uma forma de garantir 100% de segurança.
Não libere os códigos de SMS para ninguém
Tudo começa com o mais básico: atenção redobrada. Quando uma conta do WhatsApp é ativada num aparelho novo, o app manda um SMS para o número de telefone cadastrado com um código de confirmação de seis dígitos. A mensagem identifica se tratar de um código ligado ao mensageiro e que não deve ser repassado.
Golpistas precisam desse código para poder ativar a conta roubada em seus celulares, e vão tentar ludibriar a vítima de diferentes formas para consegui-lo. Ou então, tentar métodos mais sofisticados, como clonagem de chip (para receber o SMS no lugar do alvo).
Mês passado, por exemplo, a empresa de cibersegurança Kaspersky Lab identificou um ataque direcionado a usuários que anunciavam em serviços de vendas online. Os criminosos, em posse dos dados pessoais das vítimas (como o telefone), entram em contato como se fossem a plataforma de vendas.
No contato, os hackers alegam um suposto problema no anúncio e dizem que, para regularizar, é necessário que o anunciante passe para eles um código que chegará por SMS. Nesse momento, o golpista inicia o processo de ativação do WhatsApp em seu telefone, mas usando o número do alvo.
A vítima, então, recebe o código de confirmação do WhatsApp em seu próprio celular e repassa o dado para os golpistas, acreditando se tratar de algo realmente ligado à plataforma de vendas. Com essa informação, os criminosos conseguem fazer a ativação requerida pelo Whats e transferir a conta. Pronto, roubo feito.
O método, no entanto, varia. Criminosos podem roubar o WhatsApp de um amigo do alvo e entrar em contato com a nova vítima se passando pela pessoa conhecida. Aí, então, pedir o tal código. Por isso, nunca se deve passar esse número que chega por SMS a terceiros.
Habilite a autenticação de dois fatores
Outra dica é ativar a verificação em duas etapas. Com ela, o usuário cria uma sequência numérica que será exigida toda vez que sua conta do WhatsApp for ativada num novo telefone, além do número enviado por SMS. Dessa forma, um criminoso que conseguisse roubar o primeiro código seria travado nessa barreira.
Para ativar a verificação em duas etapas, vá em "Configurações > Conta > Verificação em duas etapas > Ativar" e siga o procedimento que será apontado na tela. Periodicamente, o WhatsApp vai pedir essa senha para dar acesso ao aplicativo como uma espécie de lembrete.
O processo de ativação no Telegram é parecido. Vá em "Configurações > Privacidade e Segurança > Verificação em Duas Etapas" e siga o procedimento, configurando a senha, uma dica para se lembrar e um e-mail de recuperação.
O Telegram enviará uma mensagem ao endereço de e-mail configurado com um código de confirmação, que deverá ser inserido no aplicativo para concluir o processo de ativação do recurso de segurança.
A segurança do próprio telefone também é importante. Mantê-lo com senha, aplicativos e sistema operacional atualizados é fundamental. Apps especializados (os famosos antivírus) podem ajudar a criar algumas barreiras adicionais contra eventuais ataques.
Fui roubado. E agora?
Nesses casos, o WhatsApp orienta a entrar no aplicativo com seu número de telefone e confirmar o código de seis dígitos recebido por SMS. Nessa hora, é necessário ter acesso à linha telefônica.
Com a nova ativação, a conta será desligada em outros celulares em que esteja sendo usada -o telefone dos criminosos, no caso.
No processo, será também necessário digitar o código de verificação em duas etapas, se ele estiver configurado. Se o usuário tiver esquecido a combinação, deverá esperar uma semana antes de obter acesso à conta novamente.
Como o ataque pode acontecer?
De acordo com Fabio Assolini, pesquisador de segurança da Kaspersky Lab, existem cinco técnicas possíveis das quais criminosos podem se aproveitar para roubar uma conta no WhatsApp – e, em sua avaliação, uma delas pode ter sido usada para hackear o telefone de Sergio Moro.
- Acesso físico: com o celular em mãos, um atacante pode obter as informações que quiser ou então instalar programas maliciosos no telefone sem que o dono saiba, possibilitando acesso remoto aos dados, gravação de conversas...
- Ataque remoto: a distância, o atacante se aproveita de alguma vulnerabilidade em programas ou sistemas do celular --e pode, assim como no caso do acesso físico, instalar algo para conseguir acesso aos dados do telefone. Exemplo disso foi o caso revelado pelo próprio WhatsApp em maio, quando hackers conseguiram instalar um software de vigilância em telefones a partir de uma falha do aplicativo.
- SIM Swap: é o golpe da moda. Ele depende de uma pessoa com acesso aos sistemas das operadoras de telefonia, que transfere o número associado ao chip da vítima para outro chip, dos criminosos. Com isso, os atacantes conseguem receber os SMS enviados para o telefone e, assim, a conta no WhatsApp – e a outros sistemas que enviem códigos por mensagem de texto, inclusive banco. É fácil de perceber, porque o telefone da vítima "morre": para de receber e fazer ligações, se conectar à internet e alguns aplicativos podem parar de funcionar.
- Engenharia social: é o nome formal dado à técnica na qual os golpistas tentam enganar o usuário para passar o código verificador de alguma forma. É uma alternativa mais simples e barata do que o SIM Swap, já que não é necessária uma pessoa com acesso ao sistema das operadoras.
- Protocolo SS7: é o mais sofisticado de todos, e mais incomum. Depende de criminosos com conhecimento técnico sobre o protocolo SS7, usado por empresas de telefonia para o tráfego de informação. Vulnerabilidades no protocolo foram usadas pelos EUA para espionar o governo Dilma, exemplifica Assolini. É possível espelhar a linha telefônica de modo imperceptível para o usuário --o celular continua funcionando normal, mas a comunicação chega também para os criminosos.
Devido a essas vulnerabilidades, Assolini critica o fato de aplicativos mensageiros usarem o número de telefone como forma de unir uma pessoa a sua conta.
— Esses programas de comunicação têm uma falha de design. Enquanto não tratarmos de forma correta, vão continuar existindo casos assim — alerta. — Números de telefone não foram criados para te dar acesso a uma plataforma.
Por mais que ajudem, medidas como a autenticação de duas etapas ainda podem ser burladas em investidas um pouco mais elaboradas, avalia. Por isso, para uma segurança mais robusta, a recomendação seria migrar para outro aplicativo, que ofereça acesso não atrelado ao número de telefone. A recomendação de Assolini é o Threema (à venda por R$ 9,49 para Android e R$ 10,90 para iPhone).