Especialistas da empresa de cibersegurança Kaspersky descobriram um novo golpe no WhatsApp que consegue, por meio de artifícios de engenharia social e uma solicitação ao próprio suporte do serviço, burlar o recurso de autenticação em duas etapas, ativado por uma senha pessoal do usuário exigida no momento da instalação do aplicativo.

A vítima, segundo os especialistas, recebe uma ligação dos criminosos, que se apresentam como representantes do Ministério da Saúde e perguntam se podem realizar uma pesquisa sobre a Covid-19. Toda a encenação tem um objetivo claro: fazer a pessoa passar o código de seis números que é enviado via SMS para "confirmar a realização da pesquisa". Se o alvo não presta atenção na mensagem e informa o código, a conta pode ser roubada.

A mudança ocorre quando o golpista se depara com a tela que solicita a senha da autenticação em duas etapas. Quando isso acontece, eles encerram a ligação da suposta pesquisa e ligam novamente para o usuário, mas, dessa vez, se passam pelo suporte do aplicativo de mensagens, explicam que a empresa identificou uma atividade maliciosa na conta e orientam a vítima a acessar seu e-mail para realizar o recadastro da dupla autenticação.

O que mais surpreendeu os pesquisadores é que, de fato, a vítima recebe uma mensagem de e-mail legítima do aplicativo de mensagens com o título "Two-Step Verification Reset" ("resgate da verificação em duas etapas", em tradução livre), contendo um link para desabilitar a proteção adicional. Após análise, Fabio Assolini, pesquisador sênior de segurança da Kaspersky, destaca que a engenharia social dos criminosos atingiu um novo nível.

"Tanto a mensagem quanto o link para recuperar a dupla autenticação são legítimos, ou seja, foram enviados pela dona do aplicativo. Da mesma forma que podemos solicitar a recuperação de uma senha em uma loja online, podemos pedir a recuperação da dupla autenticação do app de mensagens, caso a senha seja esquecida. O golpe se vale de engenharia social, forçando as vítimas a clicarem no link recebido por e-mail", afirma Assolini.

O especialista finaliza explicando que os criminosos permanecem na linha enquanto a vítima acessa o e-mail e o link, e destaca que a página de destino, na verdade, realiza a desativação da autenticação em duas etapas. "A ideia aqui é permitir que a pessoa crie uma nova senha ao ativar a função novamente. Só que os criminosos aproveitam que a conta está desprotegida e usam o código temporário recebido na primeira ligação para realizar a instalação em um dispositivo deles, e assim seguir com o golpe, entrando em contato com amigos e familiares para pedir dinheiro", detalha o pesquisador.

De acordo com a Kaspersky, os usuários do WhatsApp devem saber que esse novo golpe existe para se protegerem adequadamente, além de ativar a dupla autenticação, caso não o tenham feito. Veja como:

- Vá ao menu de configurações no canto superior direito do app;

- Acesse a opção "Configurações";

- Clique em "Conta";

- Selecione "Confirmação em duas etapas";

- Crie um código de seis dígitos;

- Não esqueça de solicitar que seu número seja retirado das listas de IDs de aplicativos que identificam chamadas, pois eles podem ser usados por golpistas para identificá-lo a partir do seu nome;

- E jamais desative a autenticação de dois fatores, a não ser que esqueça a senha e faça essa solicitação.

Assolini ressalta, contudo, que apenas o WhatsApp pode dar uma solução definitiva para o problema e acabar com os golpes de roubo de contas. "Do ponto de vista da segurança, o aplicativo deve melhorar o processo de recuperação da dupla autenticação, permitindo o recadastro na própria página da empresa, em vez de realizar a desativação. Dessa forma, esse esquema seria inviabilizado", conclui.