Empresas de cibersegurança emitiram alerta, nesta semana, que criminosos estão enviando mensagens para usuários do Whatsapp, se passando por funcionários do Ministério da Saúde que estariam fazendo um cadastro para vacinação contra a covid-19.
A técnica, parecida com a de outros golpes, usa a boa-fé da vítima para driblar até mesmo a dupla autenticação do WhatsApp, recurso que tem a função de impedir que o usuário tenha sua conta roubada e seja vítima de golpes financeiros.
Caso esteja ativada, eles encerram a suposta pesquisa e entram em contato novamente com a vítima, mas, desta vez, se passando pelo suporte do aplicativo de mensagens. Sob a justificativa de que uma atividade maliciosa foi identificada, o usuário é orientado a acessar seu e-mail e realizar o recadastro de dupla autenticação.
“O que mais nos surpreendeu é que tanto a mensagem quanto o link para recuperar a dupla autenticação são legítimos, ou seja, foram enviados pela dona do aplicativo”, afirma o pesquisador sênior de segurança da Kaspersky, Fabio Assolini.
“Da mesma forma que podemos solicitar a recuperação de uma senha em uma loja online, podemos pedir a recuperação da dupla autenticação do app, caso a senha seja esquecida. O golpe se vale de engenharia social, forçando as vítimas a clicarem no link recebido”, completa.
Assolini explica ainda que os fraudadores permanecem na linha enquanto a vítima acessa o e-mail e o link e ressalta que a página de destino, na realidade, realiza a desativação da autenticação em duas etapas. A ideia é permitir que a pessoa crie uma nova senha ao ativar a função novamente.
“Os cibercriminosos aproveitam que a conta está desprotegida e usam o código temporário recebido na primeira ligação para realizar a instalação em um dispositivo deles”, diz. “Assim, eles conseguem seguir com o golpe, entrando em contato com amigos e familiares para pedir dinheiro.”
Segundo a Kaspersky, para evitar ser vítima de golpe, é fundamental ativar a dupla autenticação no WhatsApp. A empresa destaca, no entanto, que apenas o WhatsApp pode dar uma solução definitiva para isso e acabar com os golpes envolvendo o roubo de contas. E é importante relembrar que as senhas de autenticação nunca devem ser fornecidas por telefone.
