Qualquer pessoa pode ser enganada na internet. Tanto por sites fraudulentos como nas redes sociais e, é claro, os aplicativos de mensagens instantâneas, especialmente no mais popular deles, o WhatsApp.
Um dos ataques que mais se popularizou nos últimos tempos se vale, como tantos outros, do fator humano: o phishing, um tipo de ataque que usa engenharia social para obter por métodos fraudulentos as chaves de acesso ou senhas de um serviço fazendo se passar pela vítima como uma pessoa ou empresa de confiança, normalmente suplantando a identidade do serviço ao qual pretende obter o acesso ilicitamente.
Esse tipo de ataque acontece com o envio de um SMS legítimo enviado pelo WhatsApp e provocado pelos atacantes. Ele tenta mudar o número de telefone ao que está vinculado à conta da plataforma de mensagem, se passando pelo usuário original que teria o seu perfil roubado por um terceiro.
O serviço envia uma mensagem de texto ao número de telefone vinculado com um código de segurança que devemos introduzir para seguir com o processo de identificação no WhatsApp.
Seguindo com o procedimento habitual desse tipo de ataque, ao mesmo tempo que a vítima recebe o SMS legítimo, os atacantes se passam pela plataforma genuína, enviando outra mensagem para obter a chave de segurança. Para aumentar a credibilidade, a mensagem falsa garante que alguém tento acessar a conta, indicando a data, a hora e a suposta localização, onde foi levado em conta o ataque frustrado, solicitando o código que o WhatsApp acabou de enviar.
A vítima, acreditando que a segunda mensagem SMS era legítima, ofereceu de forma involuntária o código de segurança aos atacantes, que assumem o controle da conta do WhatsApp, bloqueando o seu acesso à mesma. As conversas anteriores da vítima não são acessadas, uma vez que elas são salvas no dispositivo ou em cópias de segurança, mas os contatos e as novas mensagens recebidas podem ser lidas, assim como o fraudador pode enviar mensagens em seu nome.
Como evitar um ataque por phishing no WhatsApp?
Não compartilhando JAMAIS o código de verificação do WhatsApp que você recebe por SMS. O próprio WhatsApp informa isso nos seus conselhos de segurança de conta. Não compartilhe esse código nem mesmo com conhecidos ou com empresas que, em princípio, podem ser de confiança.
Os códigos de verificação de seis dígitos que o WhatsApp envia por SMS servem especificamente para recuperar uma conta quando a mesma foi roubada. Quando isso acontece, a partir da plataforma é solicitado o registro do nosso número de telefone, e a verificação com a digitação do código recebido por SMS. Uma vez transmitidos os dados, a sessão aberta com a nossa conta por algum atacante é fechada automaticamente.
Além disso, é altamente recomendável ativar a verificação em dois passos, tal e como recomenda o próprio WhatsApp.