Bandidos podem usar redirecionamento de chamadas para roubar contas no WhatsApp

Um golpe envolvendo engenharia social permite que criminosos usem sistemas de redirecionamento de chamadas, disponíveis na maior parte das operadoras de telefonia globais, para roubar contas do WhatsApp. O segredo está em induzir o usuário a ativar o serviço, por meio de uma ligação fraudulenta, e realizar o processo enquanto ele ainda está na linha, com o código de verificação do aplicativo sendo enviado, também, por meio de uma chamada de voz.

• Como saber se um celular é roubado
• Código que diz revelar se o seu celular vem sendo espionado é falso; entenda

O procedimento foi demonstrado pelo CEO e fundador da empresa de segurança CloudSEK, Rahul Sasi. Ele afirma ter sido bem-sucedido no furto de contas do WhatsApp em questão de minutos, usando interfaces automatizadas via telefone e códigos disponibilizados pelas operadoras para habilitar o redirecionamento, muitos deles encontrados livremente na internet. São diferentes passos e alguns complicadores, que também podem ser vencidos por criminosos organizados.

E-mails de phishing ou chamadas telefônicas são usadas para induzir as vítimas em potencial a telefonarem a um número, que é o que receberá a verificação, precedido de um código que habilita o redirecionamento. Na sequência, o processo de ativação do WhatsApp é iniciado enquanto o alvo ainda está na linha, de forma que ele ignore notificações e alertas no telefone enquanto sua conta é ligada a um outro smartphone; ele só percebe o golpe depois que desliga, quando já é tarde demais.

Alguns dispositivos de segurança podem servir para revelar o golpe, como uma notificação persistente no telefone sobre a confirmação do redirecionamento. Em outros, os códigos fornecidos pelas operadoras apenas redirecionam as chamadas quando o número original estiver indisponível ou ocupado, o que aumenta o tempo necessário para a chamada fraudulenta e, também, pode levar a suspeitas por parte da vítima. Mensagens de texto e confirmações também podem aparecer no WhatsApp.

Tática criminosa no WhatsApp foi verificada por site

Sasi teve sucesso na exploração contra números das duas maiores operadoras de telefonia da Índia, Airtel e Jio, enquanto o site Bleeping Computer também verificou o método contra linhas de telecoms gigantes como Verizon e Vodafone. Operadoras brasileiras também possuem códigos desse tipo, mas não existem registros de golpes desse tipo sendo realizados por criminosos daqui.

Por outro lado, a ativação da autenticação em duas etapas no WhatsApp é suficiente para impedir o ataque. Com o recurso funcionando, mesmo que tenha o código de verificação, os atacantes precisariam de mais uma senha, que não deve ser passada a ninguém, para ativar sua conta em um novo aparelho, impedindo completamente o golpe mesmo que o redirecionamento de chamadas do seu celular para outro seja completado com sucesso.

Outra recomendação de segurança é desconfiar de chamadas e mensagens que solicitem ligações ou indiquem números para serem acessados diretamente. Caso desconfie da veracidade do contato em nome de uma empresa ou serviço, em vez de atender ao pedido, prefira entrar em contato por meios oficiais, já que os representantes saberão informar sobre a questão.

Fonte: Bleeping Computer