Qualquer pessoa pode bloquear qualquer conta do WhatsApp. Basta saber o número de telefone da vítima e pedir para que essa pessoa (ingênua) ative a sua conta em qualquer outro telefone.
A vítima vai receber a típica mensagem de SMS que o WhatsApp envia para o usuário quando acontece uma tentativa de ativação de conta no seu número de celular.
Neste post, vamos passar o caminho das pedras para não cair nesse tipo de golpe, evitando assim que a sua conta do WhatsApp seja roubada.
Como é essa mensagem?
A mensagem é mais ou menos nesse formato:
“Código do WhatsApp: (seis dígitos, separados em grupos de três)
Ou clique neste link para verificar o seu número: (link que começa em a letra v e um ponto)
Não compartilhe esse código com ninguém.”
O que fazer quando receber essa mensagem?
Se você não pediu para ativar o WhatsApp de outro dispositivo, este é um sinal claro que alguém está tentando fazer isso. E o grande problema aqui é que os atacantes fazem isso pois se aproveitam de duas grandes vulnerabilidades de segurança do aplicativo.
Qualquer pessoa pode digitar um número válido de um usuário do WhatsApp em seu dispositivo. E essa é uma falha gritante do aplicativo. Quando isso é feito, a vítima recebe o código de verificação de seis dígitos por SMS, ou uma notificação dentro do próprio aplicativo solicitando tal código. E, mesmo assim, o usuário pode seguir usando a sua conta na plataforma normalmente.
Enquanto isso, os atacantes podem mandar um e-mail para o suporte técnico do WhatsApp para informar que o seu telefone foi roubado e, por isso, pede para desativar a conta associada, indicando o número a ser bloqueado. Para isso, basta a confirmação do número de telefone associado à conta. E aqui está o segundo erro da plataforma, onde os criminosos se aproveitam para realizar o ataque.
Não existe um sistema de verificação para conferir se a solicitação de bloqueio de conta do WhatsApp é real. E o processo de desativação continua: o usuário verdadeiro recebe a notificação sobre o bloqueio, e se tenta recuperar a conta incluindo o seu número de telefone, o aplicativo não manda um novo código de SMS, informando que é preciso esperar até 12 horas para tentar o desbloqueio.
Depois das 12 horas, o WhatsApp não manda um novo código de desbloqueio, mas sim que faltam “-1 segundos” para gerar uma nova chave via SMS, já que muito provavelmente foram realizadas muitas tentativas para recuperar o acesso à conta no serviço.
Porém, nesse ponto, não tem como voltar a registrar a conta naquele telefone, e isso só será possível se o usuário entrar em contato com o suporte da plataforma para realizar o desbloqueio da conta.
Não é um ataque tão sofisticado assim, mas que aproveita a vulnerabilidade de segurança do WhatsApp, onde o usuário pode ser vítima mesmo ativando a verificação em dois passos.
E eu nem preciso dizer que é fundamental que a plataforma de Mark Zuckerberg resolva esse problema o quanto antes possível.
Via Forbes