Diversas contas têm sido roubadas por meio do direcionamento de chamadas. CEO de empresa de segurança dá a dica para se ver livre desse tipo de ataque.

Um golpe envolvendo engenharia social tem permitido que criminosos usem sistemas de redirecionamento de chamadas, disponíveis na maior parte das operadoras de telefonia globais, para roubar contas do WhatsApp. O segredo está em induzir o usuário a ativar o serviço, por meio de uma ligação fraudulenta, e realizar o processo, enquanto ele ainda está na linha, com o código de verificação do aplicativo sendo enviado, também, por meio de uma chamada de voz.

O procedimento foi demonstrado pelo CEO e fundador da empresa de segurança CloudSEK, Rahul Sasi. Ele afirma ter sido bem-sucedido na análise de furto de contas do WhatsApp, em questão de minutos, usando interfaces automatizadas via telefone e códigos disponibilizados pelas operadoras para habilitar o redirecionamento; muitos deles encontrados livremente na internet. São diferentes os passos e alguns complicadores, que também podem ser vencidos por criminosos organizados.

Na prática, e-mails de phishing ou chamadas telefônicas são usadas para induzir as vítimas em potencial a telefonarem a um número, que é o que receberá a verificação, precedido de um código que habilita o redirecionamento. Na sequência, o processo de ativação do WhatsApp é iniciado enquanto o alvo ainda está na linha, de forma que ele ignore notificações e alertas no telefone enquanto sua conta é ligada a um outro smartphone; ele só percebe o golpe depois que desliga, quando já é tarde demais.

Alguns dispositivos de segurança podem servir para revelar o golpe, como uma notificação persistente no telefone sobre a confirmação do redirecionamento. Em outros, os códigos fornecidos pelas operadoras apenas redirecionam as chamadas quando o número original estiver indisponível ou ocupado, o que aumenta o tempo necessário para a chamada fraudulenta e, também, pode levar a suspeitas por parte da vítima. Mensagens de texto e confirmações também podem aparecer no WhatsApp.

Segundo Sasi, a ativação da autenticação em duas etapas no WhatsApp já é suficiente para impedir o ataque. Com o recurso funcionando, mesmo que tenha o código de verificação, os atacantes precisariam de mais uma senha, que não deve ser passada a ninguém, para ativar sua conta em um novo aparelho, impedindo completamente o golpe mesmo que o redirecionamento de chamadas do seu celular para outro seja completado com sucesso.

Outra recomendação de segurança é “desconfiar de chamadas e mensagens que solicitem ligações ou indiquem números para serem acessados diretamente. Caso desconfie da veracidade do contato em nome de uma empresa ou serviço, em vez de atender ao pedido, prefira entrar em contato por meios oficiais, já que os representantes saberão informar sobre a questão”, orienta o CEO.