A Federação Brasileira de Bancos (FEBRABAN) listou os dez golpes financeiros mais comuns aplicados contra idosos e, entre eles, está o do WhatsApp, que mais recentemente tem sido realizado pelos bandidos com uma técnica chamada Spoofing. Esse método permite que bandidos e vítima utilizem o aplicativo invadido ao mesmo tempo, sem que essa última perceba a fraude.
O cibercriminoso utiliza da clonagem do cartão SIM ou eSIM, ou ainda QRLjackings, entre outros recursos, para assumir o controle da conta e enviar mensagens em nome da vítima.
“Esse tipo de ataque pode passar despercebido pela vítima, pois ela poderá continuar logando e abrindo sua sessão do WhatsApp web ou desktop. Isso marca um diferencial em relação a outros casos em que a conta do WhatsApp fica inacessível à vítima, como o sequestro do WhatsApp completo”, comenta Fabiana Ramírez Cuenca, Pesquisadora de Segurança Informática da ESET na América Latina.
A ESET realizou uma simulação de invasão de WhatsApp usando QRLjacking, uma técnica na qual o invasor gera um QR Code de login falso com o qual assume o controle de uma conta. Desta forma, o infrator pode enviar mensagens em nome do proprietário e ler suas mensagens sem que o usuário legítimo perceba.
Por meio de uma ferramenta OpenSource, um QR Code foi gerado e enviado à vítima via técnicas de engenharia social, induzindo-a a escaneá-lo e usar em seu dispositivo. Uma vez que o QR Code é escaneado, o cibercriminoso ganha acesso ao WhatsApp e pode fazer login na conta. Dessa forma, o intruso acessa as conversas e a seus remetentes, e podendo enviar mensagens como se fosse a vítima.
A chave para evitar cair nesse golpe é prestar atenção às fontes de qualquer QR Code recebido, alerta Fabiana Ramírez Cuenca, Pesquisadora de Segurança Informática da ESET. “Nunca se deve escanear um QR code do WhatsApp de fontes não confiáveis. Ao receber um QR Code por mensagem, email ou site suspeito, o ideal é ignorá-lo. Os QR Codes da sessão devem ser escaneados apenas no site oficial do WhatsApp ou no aplicativo WhatsApp”, afirma.
Outros dois pontos importantes são habilitar a verificação em duas etapas (2FA) e revisar as conversas ativas regularmente. “Com a verificação em duas etapas, mesmo que alguém obtenha acesso ao seu Whatsapp por meio de um ataque de Spoofing, precisará de um código PIN adicional para fazer login em outros dispositivos”, diz Fabiana. “É possível revisar e fechar conversas ativas em outros dispositivos nas configurações. Se alguma atividade suspeita for identificada, saia imediatamente”, conclui.
