Fique atento
Novo golpe rouba contas do WhatsApp até de quem tem ativada a confirmação em duas etapas; veja como funciona
Criminosos utilizam engenharia social para fazer com que os usuários desativem a proteção; Polícia Civil já identificou casos no Rio Grande do Sul
Promoções, pesquisas e links falsos. As formas de abordagem de um dos golpes virtuais mais recorrentes no Rio Grande do Sul são variadas, mas o objetivo é o mesmo: roubar ou clonar contas do WhatsApp para, posteriormente, pedir dinheiro aos contatos das vítimas.
Para se proteger desses ataques, a principal recomendação de especialistas é ativar a confirmação em duas etapas, cadastrando um código de seis dígitos – o PIN – que será solicitado quando alguém tentar registrar o número de telefone no aplicativo novamente. Entretanto, criminosos têm utilizado novos métodos de manipulação para sequestrar até mesmo as contas que estão com essa proteção habilitada.
De acordo com o delegado André Anicet, titular da Delegacia de Repressão aos Crimes Informáticos e Defraudações (DRCID), do Departamento Estadual de Investigações Criminais (Deic), a Polícia Civil já recebeu ocorrências sobre essa nova técnica de fraude. A seguir, entenda como o golpe funciona e confira dicas para não se tornar uma das vítimas.
O golpe
O ataque costuma iniciar com uma ligação em que o criminoso se apresenta como um funcionário do Ministério da Saúde que está fazendo uma pesquisa sobre a covid-19. Ao final da conversa, ele solicita que o entrevistado repasse um código enviado por SMS para confirmar a participação.
Acontece que essa sequência de números é a senha necessária para que o WhatsApp seja cadastrado com o número da vítima em outro smartphone e, se a pessoa estiver com a confirmação em duas etapas desabilitada, sua conta já será roubada nesse momento.
Caso a proteção esteja ativada, o criminoso adiciona uma nova etapa ao golpe, entrando em contato com a vítima como se fosse da equipe de suporte do WhatsApp. Na ligação, ele afirma que foi identificada uma atividade suspeita na conta e pede que o usuário recadastre o PIN da confirmação através de um link enviado por e-mail.
Esse link, por sua vez, serve para desabilitar a proteção, permitindo que o criminoso utilize o código informado na primeira ligação para acessar a conta da vítima em outro aparelho. Em seguida, os estelionatários costumam se passar pela vítima para pedir dinheiro emprestado a amigos e familiares, por exemplo.
Cuidados necessários
Para Leonardo Lemes Fagundes, professor da graduação em Segurança da Informação da Unisinos e sócio diretor da empresa Service IT Security, a informação é a maior aliada contra esse tipo de crime virtual. Justamente por isso, ele acredita que idosos e pessoas com menos relacionamento com a tecnologia estejam mais suscetíveis a se tornarem vítimas desses criminosos.
O professor salienta que é preciso estar sempre atento às informações disponibilizadas por fontes confiáveis, a fim de confirmar a veracidade dos fatos e dos procedimentos adotados por grandes empresas e órgãos, como o WhatsApp e o Ministério da Saúde. No site do aplicativo, por exemplo, não há nenhuma referência de que a equipe de suporte possa fazer contato telefônico com o usuário.
Em nota, o WhatsApp informou que “não entra em contato com os usuários proativamente por telefone para solicitar recadastramento de senha ou da confirmação em dois fatores”. A empresa pede ainda que, caso a pessoa receba uma ligação de alguém se fazendo passar pela equipe de suporte, denuncie pelo e-mail support@whatsapp.com.
No caso do Ministério da Saúde, realmente há um estudo sobre o coronavírus em andamento, em que os participantes são contatados para entrevista e agendamento de coleta de material biológico. No entanto, de acordo com a pasta, os cidadãos selecionados para a Pesquisa de Prevalência de Infecção por Covid-19 no Brasil (PrevCov) já foram previamente informados sobre a participação por SMS ou WhatsApp.
Além disso, em um texto sobre o estudo publicado em 11 de junho no site do governo federal, o Ministério da Saúde destaca que “não solicita código de celular para confirmar informações”. Para saber se está na lista de participantes da pesquisa, basta entrar em contato com a ouvidoria do Sistema Único de Saúde (SUS), pelo número 136.
— Se a pessoa está participando de uma pesquisa e precisa enviar um código, é importante consultar o site do órgão e verificar se isso realmente existe. Tem gente que não vai ter essa paciência, essa noção, mas se fizer uma busca rápida já pode saber se o estudo está mesmo sendo feito e se esse método de enviar um código para confirmar é utilizado — destaca Fagundes.
Sinais de alerta
Em golpes assim, os criminosos utilizam a chamada engenharia social — uma técnica de manipulação que induz as vítimas a executar ações ou repassar dados confidenciais — e é comum empregarem um falso senso de urgência à conversa, o que deve ser um sinal de alerta para o usuário, ressalta o professor Leonardo Lemes Fagundes:
— O que o criminoso quer fazer é dar o menor tempo possível para a vítima raciocinar, então ele cria um senso de urgência e esse é um sinal de que algo está errado. Por isso, desconfie de qualquer pressão, seja para repassar rapidamente um código ou clicar em um link para redefinir senhas.
Promoções e prêmios são outros métodos frequentemente utilizados por infratores na engenharia social, por este motivo, os usuários também devem suspeitar da possibilidade de ganho fácil.
Como se proteger
Leonardo Lemes Fagundes afirma que a confirmação em duas etapas do WhatsApp continua sendo uma importante ferramenta de proteção e, portanto, deve estar sempre habilitada. Ao ativar a proteção, é necessário informar um endereço de e-mail seguro, que somente o usuário tenha acesso.
O professor ainda orienta não manter esse e-mail conectado ao celular diariamente, pois isso dificulta ainda mais o acesso de criminosos. Também é recomendado que o usuário não compartilhe seu PIN com outras pessoas, nem mesmo amigos próximos ou familiares, e não clique no e-mail de redefinição de senha, caso não o tenha solicitado.
André Anicet, delegado titular da Delegacia de Repressão aos Crimes Informáticos e Defraudações (DRCID), enfatiza a importância de não repassar nenhuma senha ou código de segurança a desconhecidos e de registrar ocorrência caso seja vítima ou identifique uma tentativa de golpe.
Como ativar a confirmação em duas etapas
- Vá até configurações e clique em "conta";
- Entre em "configuração em duas etapas";
- Clique em "ativar";
- Escolha uma senha de seis dígitos e clique em "avançar";
- Confirme o PIN;
- Adicione seu endereço de e-mail e, em seguida, o confirme;
- Clique em "salvar" e decore sua senha.
Produção: Jhully Costa