Lançado no último dia 4 de maio no Brasil, o WhatsApp Pay permite realizar pagamentos pelo aplicativo de mensagem. A novidade está chamando bastante atenção: não há cobrança de taxas para enviar ou receber dinheiro, e as transações podem ser feitas usando cartão pré-pago, de débito ou múltiplo com a função débito. A Kaspersky analisou a ferramenta e listou as principais características de segurança da aplicação, além de trazer dicas para ampliar a proteção dos usuários.

O primeiro ponto que os especialistas da empresa apontaram é que o app utiliza P2P (conhecido como ponto-a-ponto) como meio de pagamento. Desta forma, a transferência do dinheiro é feita de um usuário ao outro, sem deixar saldos disponíveis em um e-wallet ou em uma conta digital – métodos que poderiam ser alvo dos criminosos.

Outro ponto positivo é a exigência de autenticação da instituição financeira quando o usuário adiciona um cartão de débito como método de pagamento. Feita com um código temporário, conhecido como OTP (one-time-password, em inglês), a autenticação é enviada por e-mail ou SMS e é um passo obrigatório para se completar o processo. Também é possível configurar um PIN numérico ou biométrico, que deve ser informado no ato do pagamento.

Outra medida de segurança adotada pelo novo recurso de pagamento chamou a atenção do especialista da Kaspersky no Brasil. Caso a conta WhatsApp seja instalada em um novo dispositivo, a migração da função de pagamento não é automática. Ou seja, ela é desativada da conta e isto exige o recadastramento das informações financeiras.

Esta medida evita que os criminosos comprometam o cartão de débito da vítima, caso a conta seja roubada. Infelizmente este golpe, tecnicamente chamado de account takeover é o mais comum no Brasil e era a principal preocupação desde que rumores do lançamento do serviço por aqui surgiram”, afirma Fabio Assolini, analista de segurança da Kaspersky no Brasil.

O especialista explica ainda que o golpe que rouba a conta do WhatsApp usa técnicas de engenharia social (lábia) para convencer a vítima a informar o código de instalação temporário (OTP), que é enviado por SMS quando uma instalação é iniciada. “Caso a vítima informe a sequência de seis números, os cibercriminosos conseguem concluir a ativação da conta no novo aparelho e passam a ter acesso às mensagens e contatos da pessoa. Eles se aproveitam disso para entrar em contato com amigos e familiares e pedir dinheiro emprestado. Ter um método de transferência financeira na plataforma poderia potencializar esta prática. Felizmente, não identificamos em nossa análise uma maneira de explorar o WhatsApp Pay neste golpe”, explica Assolini.

Mesmo assim, existe um tipo de ataque que não há como se proteger ou mitigar: o SIM swap, na qual é possível roubar uma conta de WhatsApp ao transferir o número do telefone para um novo chip. Outra preocupação de quem decidir instalar o novo recurso de pagamento deve ter é com a proteção do dispositivo. “Existem programas maliciosos financeiros que conseguem realizar transferências bancários acessando remotamente o dispositivo da vítima. Basta uma atualização deste malware para que eles façam uma transação usando o app de mensagem. Mas aqui a maiorresponsabilidade de segurança está do lado da pessoa”, destaca o analista.

Para que o usuário se proteja de possíveis golpes no WhatsApp e preserve suas informações no WhatsApp Pay, a Kaspersky recomenda:

  • Reative sua conta do WhatsApp o mais rápido possível em caso de perda ou roubo do aparelho. Estre processo desativará o WhatsApp Pay no smartphone perdido ou roubado. Caso não faça o procedimento, o golpista terá a chance de cometer fraudes com a conta da vítima.
  • Faça uso de um PIN numérico na autenticação dos pagamentos. O processo é feito com o sistema operacional do smartphone e usa a digital já cadastrada. Em caso de roubo do aparelho, especialmente em situações em que a tela não está bloqueada, um golpista pode cadastrar uma nova digital, possibilitando assim o acesso ao WhatsApp Pay e, consequentemente, o envio de dinheiro usando o cartão cadastrado.
  • Tenha uma solução de segurança instalada no dispositivo, como o Kaspersky Internet Segurity para Android, que bloqueia remotamente o smartphone em caso de perda ou roubo, além de proteger o usuário contra golpes que acessam remotamente o aparelho, como os trojans como Ghimob e BRata, que podem realizar transações financeiras sem o conhecimento do proprietário.
  • Ative os recursos de proteção do WhatsApp, principalmente a autenticação de dois fatores, para diminuir a chance de fraudes. Outros recursos importantes são a adição de um e-mail na conta do WhatsApp para evitar golpes através da central de suporte, bem como ativar o bloqueio do app por meio de um PIN numérico. Essas ações ajudam a diminuir a chance de fraudes e ataques de roubo de contas.

Sobre a Kaspersky

A Kaspersky é uma empresa internacional de cibersegurança e privacidade digital fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 240.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em https://www.kaspersky.com.br.

Saiba como se proteger em transações via WhatsApp Pay

Kaspersky analisa novo recurso e lista dicas para manter a segurança na hora de usar o aplicativo
Kaspersky Logo