7 dicas para se proteger do sequestro de WhatsApp

Onde há atividade humana, há fraude. Na definição do Oxford Languages, “qualquer ato ardiloso, enganoso, de má-fé, com o intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever”.

As fraudes realmente são tão antigas quanto o próprio homem. Em 500 a.C, cobradores de impostos já eram punidos no Egito Antigo pelo desvio de parte dos grãos que coletavam – a mais – em nome do governo. Hoje, somos obrigados a lidar diariamente com toda a sorte de golpes pela internet. Um dos mais prevalentes é o chamado sequestro (ou clonagem) de WhatsApp.

Pesquisa da empresa de segurança cibernética F-Secure aponta que, em 2020, mais de 15 mil pessoas tiveram o WhatsApp sequestrado todos os dias.

Esse dado alarmante não é por acaso. A popularidade da plataforma em território nacional é inegável. Segundo dados da empresa de pesquisa eMarketer, o Brasil figura como o segundo país do mundo que mais utiliza o WhatsApp. Em 2021, mais da metade dos brasileiros está conectada ao aplicativo.

Terreno fértil para a comunicação e os negócios, com certeza. Mas também para os fraudadores.

O que é sequestro de WhatsApp?

O sequestro de WhatsApp acontece quando sua conta no aplicativo é tomada por um golpista, que passa a utilizá-la em seu nome – o que, em geral, é seguido por sucessivos pedidos de dinheiro a vários de seus contatos e grupos. Como a conta da vítima é roubada, a chance do golpista conseguir enganar um dos contatos e obter dinheiro é muito maior do que se usasse outro número qualquer.

Como um golpista sequestra meu WhatsApp?

Para sequestrar sua conta, o golpista faz algo muito simples: instala o WhatsApp em seu aparelho e, no momento da ativação, coloca o número de celular da vítima.

Como a empresa detecta que alguém está tentando ativar seu um número noutro aparelho, eles enviam para o seu número um SMS contendo um código de verificação. Esse código deve ser informado ao app na hora da instalação, pelo golpista, como forma de provar que ele é o dono do seu número de celular.

E é aí que o malandro entra em contato com você.

Ele vai tentar convencê-lo a checar suas mensagens e mandar, para ele, o código de verificação. Para tentar convencê-lo a fornecer esse número, é comum que os golpistas se passem por funcionários de outras empresas e digam coisas nas linhas de “senhor(a), por favor, para confirmar sua identidade consulte o código de verificação que lhe mandamos por SMS e o escreva aqui”.

Em posse desse código, o golpista consegue concluir a instalação do WhatsApp com o seu número. Automaticamente, você é desconectado de sua conta – e o criminoso terá acesso livre para tentar aplicar golpes financeiros em seus contatos e grupos.

Diante do exposto, sei que o leitor mais versado em internet assumirá que esse golpe não pode afetá-lo (“eu jamais forneceria um código recebido por SMS!”).

Pois neste caso os atacantes possuem ainda uma segunda forma de obter o que desejam. Se não conseguem te ludibriar, eles tentam simplesmente sequestrar o número do celular perante a operadora de telefonia, e não perante o WhatsApp.

Chamado de SIM Swap, este ataque torna possível ao atacante tomar conta do seu número, podendo receber e ler os SMS que você recebe e, portanto, obter o código de verificação, para então proceder à ativação e sequestro do aplicativo.

Os ataques de SIM Swap são mais complicados de se realizar, e portanto menos comuns. Merecem, ainda assim, um futuro texto dedicado a eles nesta coluna.

Afinal, como se proteger?

Como costumo dizer em minhas aulas, na Segurança Digital os cuidados que parecem mais básicos, em geral, te protegem da maioria das ameaças. E, felizmente, com o sequestro de WhatsApp não costuma ser diferente.

Diante disso, elenco a seguir sete dicas que ajudarão o leitor a manter seu WhatsApp seguro diante da maioria dos golpes.

1 – Conheça o golpe

A primeira medida protetiva você está adotando agora: adquirir conhecimento. Parabéns! Ler e se informar sobre os mais variados golpes digitais naturalmente o tornarão menos propenso a ser vítima de fraudes.

2 – Ative um PIN no WhatsApp

Esta é a dica mais importante.

Um PIN é uma senha numérica de 6 dígitos que você pode criar para seu WhatsApp. Ela será pedida sempre que você – ou um golpista – tentar instalar o WhatsApp noutro aparelho. 

Ou seja: mesmo que você seja enganado e induzido a fornecer o código de verificação recebido por SMS, o golpista dificilmente conhecerá seu PIN (sua senha), ficando impossibilitado de sequestrar seu WhatsApp.

Para ensinar a ativar um PIN no seu WhatsApp, a plataforma criou um vídeo explicativo de 50 segundos que você confere abaixo. É super fácil!

Acredite, serão alguns dos 50 segundos mais bem gastos do seu ano. Não deixe a sua segurança para depois!

3 – Não escolha um PIN de fácil adivinhação

Nada de criar um PIN que seja o mês e ano do seu nascimento ou sequências como 123456. Afinal, não adianta você criar uma senha para o seu WhatsApp se os golpistas conseguirem adivinhá-la facilmente.

4 – Não anote e nem conte o seu PIN a ninguém

O golpista pode tentar induzi-lo a fornecer o seu PIN. Nunca, jamais forneça seu PIN. Ele é de uso pessoal e exclusivo seu. Apenas memorize-o.

5 – Tome cuidado ao escanear um QR Code de WhatsApp Web

Quando queremos usar o WhatsApp pelo computador, o aplicativo pede que, com o celular, façamos o escaneamento de um QR Code que aparece na tela do computador.

Esse procedimento demanda cuidado. Se o QR Code estiver sob controle do atacante, ao escaneá-lo com o seu celular você estará dando total controle do seu aplicativo ao golpista.

Assim, antes de escanear o QR Code do WhatsApp Web, verifique se o link que está aberto no computador é o correto: https://web.whatsapp.com.

6 – Use apenas os aplicativos oficiais

Sim, eu sei que existem aplicativos não oficiais por meio do qual acessamos o WhatsApp – e que acrescentam inúmeros recursos à plataforma de mensagens enquanto você os utiliza.

O problema é: como avaliar se esses aplicativos são confiáveis? O que garante que, além de funcionarem bem para você, também não conferem acesso ao seu WhatsApp pelos atacantes?

Fique com os apps oficiais.

7 – Compartimente entre WhatsApp e WhatsApp Business

Aproveite que é possível baixar dois aplicativos – o WhatsApp e o WhatsApp Business, voltado a negócios -, no mesmo celular e organize a sua utilização dessa importante plataforma em torno desses dois apps – ou compartimentos, digamos.

Por exemplo, você pode ter um número para o trabalho, outro para a vida pessoal. Cada um com um chip diferente, que você usa apenas no contexto do WhatsApp.

Neste caso, além da melhor organização, no caso de um WhatsApp ser comprometido,o outro ainda estará intacto.

Isso aumenta a complexidade do ataque que o golpista precisa realizar para ter acesso à mesma superfície de ataque que teria antes, quando você usava um único WhatsApp para tudo.

Ou, em outras palavras: se o WhatsApp Business for sequestrado, possivelmente o atacante não conseguirá mandar mensagens pedindo dinheiro à sua família. Se o WhatsApp comprometido foi o pessoal, seu chefe e colegas de trabalho provavelmente não receberão mensagens constrangedoras suas.

E é isso. Se o leitor adotar essas medidas corretamente, estará livre da maioria dos golpes de sequestro de WhatsApp.

Tem alguma dúvida sobre este e outros golpes digitais? Quer sugerir um tema para eu escrever sobre aqui na Gazeta Digital? Então comente abaixo ou mande um e-mail para gustavo@cardial.com.br.

Gustavo Cardial é especialista em Computação Forense, mestrando em Ciência da Computação e professor do Instituto Federal de Educação, Ciência e Tecnologia do Acre (Ifac)

Deixe uma resposta