Golpes envolvendo o roubo e clonagem de contas no WhatsApp aumentaram nos últimos anos. Só em 2020, a estimativa é de que mais de 5 milhões de contas foram clonadas do aplicativo no Brasil. Os criminosos criam cada vez mais estratégias para enganar suas vítimas, mas muitas das tentativas de fraudes contam com ajuda direta do próprio internauta — ainda que ele não saiba disso. E golpes assim são mais antigos do que se pensa. Um relatório divulgado pela laboratório de pesquisa da empresa de segurança virtual Eset já alertava em 2019 que uma das formas crescentes de sequestro de contas do WhatsApp é feita por meio de um ataque conhecido como QRLjacking.
A ação se aproveita de técnicas de engenharia social para atacar não apenas o WhatsApp, como outros aplicativos que usam um QR Code (evolução do código de barras) para registro e uso em um computador.
No caso do WhatsApp, o código QR é gerado quando a pessoa acessa o aplicativo na versão para navegador de internet ou desktop, no popular WhatsApp Web. Quando esse código é escaneado, o usuário pode acessar sua conta no computador.
É por meio dessa função que os criminosos atacam, de acordo com os pesquisadores da Eset: os golpistas convencem as vítimas (por telefone, email, mensagens de textos) a escanear um QR code enganoso, que, em vez de apresentar uma página oficial do WhatsApp, exibe uma página falsa que tenta sequestrar a sessão de WhatsApp dos usuários.
O laboratório de pesquisa lembra que o código QR é uma imagem que, uma vez interpretada, pode conter uma URL ou qualquer outra informação capaz de ser compreendida pelo dispositivo.
As versões mais recentes do WhatsApp exigem o desbloqueio biométrico ou por PIN para validar uma nova sessão em outro aparelho. Mas versões mais antigas, que não foram atualizadas pelo usuário, usam esse código para conceder o acesso sem qualquer outro tipo de validação adicional. Sabendo dessa particularidade, os cibercriminosos foram meticulosos: desenvolveram ferramentas capazes de capturar e armazenar a imagem do código QR gerada pelo WhatsApp e criam um novo código, do mesmo tipo, para mostrar à vítima.
Feita a invasão, a sessão do usuário é armazenada no computador do hacker e ele pode usá-la da maneira como quiser. Detalhe: o “sequestro” da conta ocorre sem que o uso do aplicativo no celular da vítima seja necessariamente interrompido.
A Eset adverte que todos os aplicativos que usam o QR code podem sofrer ataques semelhantes.
Como se proteger
A empresa sugere algumas ações que servem como dicas para evitar o sequestro da conta nesse caso:
• Use redes de internet wi-fi públicas ou desconhecidas o mínimo possível, pois ataques como esse em geral acontecem quando o cibercriminoso está na mesma rede que suas vítimas. Se precisar utilizar a internet, evite acessar informações que não são extremamente necessárias naquele momento.
• Conheça os aplicativos que utiliza e suspeite se algum anúncio pedir para digitalizar o QR code em troca de algum benefício ou como parte de um processo além da validação. No caso do WhatsApp, o código serve exclusivamente para permitir que o aplicativo seja usado no computador.
• Não bobeie: mesmo em redes consideradas seguras, manter a atenção é sempre uma prática recomendada para ao menos ajudar a evitar diferentes tipos de incidentes de segurança.
• Fique atento para a resposta do app ao seu comando: se escanear um código e não receber nenhuma ação em resposta, fique alerta. Se tiver dúvidas, vá à tela principal do WhatsApp, selecione a opção “WhatsApp Web” e encerre todas as sessões que foram iniciadas. Isso derruba o acesso de criminosos à conta imediatamente.
• Mantenha ativados e atualizados programas de segurança em seu dispositivo: tenha esses mecanismos sempre configurados para bloquear ameaças, tanto no smartphone quanto no computador.
Com informações de matéria de Janaina Garcia / UOL