aplicativos de mensagens
“Oi! Minha sobrinha está participando de um concurso! Você poderia votar nela? Isso significaria muito para ela.” Mensagens como essa são comuns no WhatsApp, tanto em grupos quanto em conversas privadas. Muitas pessoas que não têm familiaridade com questões de segurança acabam clicando no link sem pensar duas vezes para ajudar alguém que, na verdade, nem conhecem e acabam perdendo o acesso à própria conta. Em uma investigação recente, identificamos uma nova campanha de phishing que já atingiu usuários do WhatsApp em todo o mundo.
Hoje, vamos explicar como esse ataque funciona, quais são as possíveis consequências para as vítimas e como evitar cair nesse tipo de golpe.
Como funciona o ataque
Os cibercriminosos, primeiro, se preparam para o ataque criando páginas de phishing convincentes, que, supostamente, hospedam pesquisas de votação legítimas (no exemplo abaixo, para jovens ginastas, embora o cenário possa ser facilmente alterado). As páginas parecem autênticas: incluem fotos de participantes reais, botões Votar e contadores mostrando quantas pessoas já votaram. Provavelmente usando IA e kits de phishing, os atacantes produzem com facilidade várias versões do mesmo site em diferentes idiomas. Encontramos a mesma enquete em inglês, espanhol, alemão, turco, dinamarquês, búlgaro e outros.
Etapa 1: a isca. Em redes sociais, em aplicativos de mensagens ou por e-mail, os golpistas usam engenharia social para direcionar você ao site de votação falso. O pretexto pode ser muito crível e a mensagem pode vir de um amigo ou parente cuja conta já foi comprometida. O pedido costuma ser personalizado. Na primeira mensagem, o fraudador, passando por seu conhecido, pede que você vote em certo participante porque seria alguém sob sua responsabilidade, um amigo ou parente.
Primeiro você é atraído para uma página de votação falsa
Etapa 2: a armadilha. Ao clicar em Votar, você é direcionado para uma página que solicita a autenticação rápida via WhatsApp. Tudo o que você precisa fazer é inserir o número de telefone vinculado ao seu aplicativo de mensagens.
Em seguida, pedem seu número de telefone associado ao WhatsApp. Os golpistas até fingem se preocupar com seus dados e com o “seu tempo valioso”
Etapa 3: o assalto. Os invasores exploram o recurso de login com código único no WhatsApp Web. Eles inserem o número de telefone que você forneceu e o WhatsApp gera um código de verificação de uso único de oito caracteres. Os criminosos exibem esse código imediatamente no site falso com instruções: abra o WhatsApp, acesse “Dispositivos conectados” e insira o código. Para facilitar, há até um botão para copiar o código para a área de transferência.
Para uma “autorização rápida e fácil” (ou seja, para assumir a conta do WhatsApp), basta inserir o código exibido no site
Ao mesmo tempo, o WhatsApp no seu telefone exibe um aviso para vincular um novo dispositivo, solicitando a inserção do código. Ao abrir esse aviso, aparece a mensagem de que alguém está tentando acessar sua conta, junto com um campo para inserir o código.
Infelizmente, levados pelo impulso de ajudar um completo desconhecido no concurso, muitos usuários não leem com atenção o aviso do WhatsApp. “Alguém está tentando acessar minha conta? É só para eu votar… O que poderia dar errado?”. Quando a vítima desatenta digita o código no app do celular, a sessão do WhatsApp Web iniciada pelos atacantes é ativada.
O WhatsApp avisa que alguém está tentando acessar a sua conta, mas muitos usuários não leem o aviso e inserem o código de verificação mesmo assim
Se você inserir esse código, os invasores obtêm acesso total ao seu WhatsApp, como se você mesmo tivesse feito login (por exemplo, de um computador enquanto seu telefone permanece conectado). Os invasores podem ver todos os seus contatos, ler conversas, enviar e excluir mensagens em seu nome e até assumir completamente o controle da conta. Isso abre mais possibilidades de fraude: extorquir dinheiro dos seus contatos usando sua identidade ou usar sua conta para divulgar o mesmo link de phishing que o enganou.
O que fazer se você achar que sua conta foi invadida
Se você suspeitar que caiu no golpe e concedeu acesso à sua conta do WhatsApp, a primeira coisa a fazer é abrir as configurações do WhatsApp em seu smartphone e acessar Dispositivos conectados. Lá, você verá todos os dispositivos atualmente conectados à sua conta. Se você notar dispositivos ou navegadores desconhecidos, clique neles para desconectá-los de sua conta. Faça isso rapidamente, antes que os criminosos assumam o controle total da sua conta.
Preparamos um guia detalhado para esses casos: ele explica oito sinais de que sua conta do WhatsApp pode ter sido hackeada e fornece instruções passo a passo sobre como recuperar o acesso, mesmo em situações mais complexas. Também temos um guia semelhante para usuários do Telegram.
Como evitar que sua conta do WhatsApp seja invadida
- Nunca participe de concursos ou votações duvidosas, especialmente se exigirem autenticação por aplicativo de mensagens. Enquetes legítimas não solicitam acesso às suas contas pessoais.
- Não clique em links suspeitos em mensagens, mesmo que venham de amigos ou familiares. Suas contas podem ter sido hackeadas.
- Nunca insira dados pessoais em sites desconhecidos, principalmente aqueles acessados por meio de links enviados em mensagens ou redes sociais. Verifique sempre o endereço (URL) com atenção.
- Não ignore os avisos do navegador sobre sites inseguros utilize o Kaspersky Premium em todos os seus dispositivos (smartphones e computadores). Nossa solução de proteção verifica links e páginas da web, bloqueia sites de phishing e recursos maliciosos, e funciona em todos os navegadores populares, tanto móveis quanto de desktop.
- Ative a verificação de dois fatores nas configurações do WhatsApp. Isso exige um código PIN de seis dígitos para fazer login em um novo dispositivo, dificultando o trabalho dos atacantes mesmo que seu número esteja comprometido. No entanto, essa função não protege contra o ataque descrito acima, pois o código exibido pelo próprio WhatsApp é considerado o “segundo fator” de autenticação. É por isso que o PIN não é solicitado durante esse método de login.
- Use chaves de acesso em vez de senhas tradicionais sempre que possível. O WhatsApp já oferece suporte a chaves de acesso para verificação de conta.
- Proteja os dispositivos móveis contra phishing, pois eles são o principal alvo dos ataques via aplicativos de mensagens. A tecnologia de proteção em três fatores detecta links maliciosos e bloqueia sites perigosos. No primeiro nível, a Proteção de Notificações detecta e remove automaticamente links maliciosos de notificações de aplicativos, deixando apenas o texto seguro. Em seguida, o recurso Mensagens Seguras bloqueia links perigosos em SMS e mensageiros (WhatsApp, Viber, Telegram) antes que o usuário clique. Por fim, o recurso Navegação Segura bloqueia URLs maliciosos em navegadores móveis populares.
- Configure as opções de privacidade e segurança do seu smartphone e computador com o Privacy Checker, de configuração de privacidade para diversos aplicativos, serviços e sistemas operacionais.
- Ajuste as configurações do WhatsApp e do Telegram para garantir a máxima proteção contra sequestro de conta, seguindo nosso guia passo a passo.
- Verifique regularmente a lista de dispositivos conectados nas configurações do aplicativo. Tanto o WhatsApp quanto o Telegram mostram todas as sessões ativas, e você pode desconectar qualquer uma que pareça suspeita. No Telegram, você pode até ativar o encerramento automático de sessões inativas.
- Use somente versões oficiais dos aplicativos de mensagens, baixados de lojas de aplicativos oficiais (como Google Play, App Store ou Galaxy Store). Versões modificadas podem conter malware.
- Redobre a atenção ao usar as versões para desktop dos aplicativos de mensagens, especialmente em computadores do trabalho.
De que outras formas os atacantes visam aplicativos de mensagens e como se proteger deles?
Dicas