Golpistas estão clonando Whastapp para extorquir dinheiro de contatos do dono da conta; veja como se proteger

Golpistas estão ampliando as táticas para conseguir invadir contas do WhatsApp, se passar pelo usuário e extorquir dinheiro de parentes, amigos e contatos do dono da conta. O esquema não é novo: existem relatos pelo menos desde 2017.

Recentemente, a empresa de segurança Kaspersky relatou que, em alguns casos, os criminosos ligavam para as vítimas e ofereciam ingressos ou convites para festas, solicitando apenas que confirmassem um código que supostamente eles tinham enviado por SMS.

Na verdade, se tratava do código de ativação que o WhatsApp manda quando se quer ativar o aplicativo em outro aparelho. Ao descobrirem o código, informado pela própria vítima, os criminosos passam a ter acesso à conta dela no app.

O que é o código de ativação do WhatsApp?
Quando você instala o WhatsApp em um aparelho novo (ao trocar de celular, por exemplo) e coloca seu número de telefone, vai receber uma mensagem SMS nesse número, dentro de alguns segundos.

Ela informa um link e um “código do WhatsApp”, para ativar a conta — é um número criado pelo próprio aplicativo (o Facebook também usa esse recurso, por exemplo).

Isso é uma medida de segurança do app, justamente para evitar que outras pessoas tentem usar a sua conta.

Caso receba uma mensagem de ativação de código que você não pediu, nada vai acontecer se você simplesmente ignorá-la. Mas jamais forneça esse código a ninguém.
O WhatsApp diz que criou um alerta nas mensagens que são enviadas com o código, “avisando seus usuários a não compartilharem o código recebido via SMS, uma vez que essa senha é pessoal e dá ao usuário a segurança de acesso”.

Esse aviso, por enquanto, só está disponível em smartphones Android, mas chegará “em breve” aos iPhones, informa o WhatsApp.

Tentativas de burlar o sistema
Cada número pode ter apenas uma conta no WhatsApp e, por isso, os golpistas bolam maneiras e usam informações disponíveis sobre os donos do número para tentar convencer as pessoas a entregar o código recebido.

Segundo o especialista em segurança digital e colunista do G1, Altieres Rohr, eles têm se aproveitado de informações públicas, como anúncios na web que contêm o número da vítima, para ligar ou enviar mensagens falsas em nome dos serviços, pedindo o código.

Isso faz a vítima pensar que um serviço que ela usa está solicitando alguma verificação de conta. É uma atitude parecida com a pessoa que dá informações sobre sua conta bancária, pensando estar falando com o banco.

E se você passar o código?
Quando o código é fornecido, os golpistas já estão com um celular em mãos, prontos para ativar o WhatsApp. E aí eles dão um jeito de tirar o acesso da vítima ao aplicativo.

Para isso, geralmente, ativam a confirmação em duas etapas, que é outra proteção do WhatsApp.

Ela funciona como se fosse uma senha: neste caso, o usuário é quem cria um código de 6 dígitos e ele será solicitado em seguida, para continuar usando o app. Depois, vai ser pedido de tempos em tempos ou quando o WhatsApp é instalado em um novo aparelho.

Se os golpistas criarem um código que você desconhece, você fica “trancado para fora” do app. E, mesmo avisando a empresa de que sua conta foi hackeada, só poderá recuperá-la depois de 7 dias, pelas regras do WhatsApp.
Como se proteger?
A maneira mais eficaz para se proteger é justamente se adiantar aos golpistas: configurar e manter ativa a “confirmação em duas etapas”.

Assim, mesmo que, por acidente, você forneça aos criminosos o código do WhatsApp, enviado via SMS, para instalar o app em outro aparelho, eles não saberão que número informar quando o aplicativo pedir a confirmação em duas etapas.

Para fazer a confirmação em duas etapas do WhatsApp, siga estes passos:

entre no menu de configurações do WhatsApp;
clique em “Conta”;
depois, em “Confirmação em duas etapas”;
e, finalmente, estabeleça uma senha e um e-mail de segurança.
Essa senha — assim como as de banco, e-mail e outros serviços pessoais — não pode ser compartilhada com ninguém.
Segundo especialistas, também não é recomendado usar uma informação pessoal para a senha, como uma data, por exemplo.