Pular para o conteúdo

Na lista dos golpes mais aplicados contra idosos, clonagem do Whatsapp permite que bandidos e vítima utilizem o mesmo número ao mesmo tempo

Criminosos enviam QR Codes maliciosos via engenharia social e passam a usar o aplicativo junto com a vítima, que não percebe a invasão; o principal recurso é atentar sobre a origem dos QR Codes recebidos, alerta a ESET

Na lista dos golpes mais aplicados contra idosos, clonagem do Whatsapp permite que bandidos e vítima utilizem o mesmo número ao mesmo tempo
Image by freepik

 

A Federação Brasileira de Bancos (FEBRABAN) listou os dez golpes financeiros mais comuns aplicados contra idosos e, entre eles, está o do WhatsApp, que mais recentemente tem sido realizado pelos bandidos com uma técnica chamada Spoofing. Esse método permite que bandidos e vítima utilizem o aplicativo invadido ao mesmo tempo, sem que essa última perceba a fraude.

O cibercriminoso utiliza da clonagem do cartão SIM ou eSIM, ou ainda QRLjackings, entre outros recursos, para assumir o controle da conta e enviar mensagens em nome da vítima.

“Esse tipo de ataque pode passar despercebido pela vítima, pois ela poderá continuar logando e abrindo sua sessão do WhatsApp web ou desktop. Isso marca um diferencial em relação a outros casos em que a conta do WhatsApp fica inacessível à vítima, como o sequestro do WhatsApp completo”, comenta Fabiana Ramírez Cuenca, Pesquisadora de Segurança Informática da ESET na América Latina.

Na simulação a seguir, a ESET compartilha um exemplo simulado de invasão de WhatsApp usando QRLjacking, uma técnica na qual o invasor gera um QR Code de login falso com o qual assume o controle de uma conta. Desta forma, o infrator pode enviar mensagens em nome do proprietário e ler suas mensagens sem que o usuário legítimo perceba.

Nesta demonstração por meio de uma ferramenta OpenSource, um QR Code foi gerado e enviado à vítima via técnicas de engenharia social induzindo-a a escaneá-lo e usar em seu dispositivo.

Interface da ferramenta para gerar o QR code falso.
Interface da ferramenta para gerar o QR code falso.

 

Uma vez que o QR Code é escaneado, o cibercriminoso – aqui simulado – ganha acesso ao WhatsApp e pode fazer login na conta da vítima.

O invasor tem o controle da conta e pode visualizar conversas e enviar mensagens em nome da vítima.
O invasor tem o controle da conta e pode visualizar conversas e enviar mensagens em nome da vítima.

 

A partir desse momento, o invasor tem acesso às conversas e a seus remetentes, podendo enviar mensagens a partir do número da vítima, assumindo sua identidade.

O invasor intervém em conversa com a vítima
O invasor intervém em conversa com a vítima

 

A chave para evitar cair nesse golpe é prestar atenção às fonte de qualquer QR Code recebido, alerta Fabiana Ramírez Cuenca, Pesquisadora de Segurança Informática da ESET. “Nunca se deve escanear um QR code do WhatsApp de fontes não confiáveis. Ao receber um QR Code por mensagem, email ou site suspeito, o ideal é ignorá-lo. Os QR Codes da sessão devem ser escaneados apenas no site oficial do WhatsApp ou no aplicativo WhatsApp”, afirma.

Outros dois pontos importantes são habilitar a verificação em duas etapas (2FA) e revisar as conversas ativas regularmente. “Com a verificação em duas etapas, mesmo que alguém obtenha acesso ao seu whatsapp por meio de um ataque de spoofing, precisará de um código PIN adicional para fazer login em outros dispositivos”, diz Fabiana. “É possível revisar e fechar conversas ativas em outros dispositivos nas configurações. Se alguma atividade suspeita for identificada, saia imediatamente”, conclui.

Sobre a ESET

A ESET® oferece segurança digital de ponta para prevenir ataques antes que eles aconteçam. Ao combinar o poder da IA ​​e da experiência humana, a ESET® permanece à frente das ameaças cibernéticas conhecidas e emergentes, protegendo empresas, infraestruturas críticas e indivíduos. Quer se trate de proteção de endpoint, nuvem ou dispositivos móveis, suas soluções e serviços nativos de IA e baseados em nuvem são altamente eficazes e fáceis de usar. A tecnologia ESET inclui detecção e resposta fortes, criptografia ultra segura e autenticação multifator. Com defesa em tempo real 24 horas por dia, 7 dias por semana e forte suporte local, mantém os usuários seguros e os negócios funcionando ininterruptamente. Um cenário digital em constante evolução exige uma abordagem progressiva à segurança: a ESET® está comprometida com pesquisas de classe mundial e inteligência poderosa sobre ameaças, apoiada por centros de P&D e uma forte rede global de parceiros. Para mais informações, visite https://www.eset.com/br/ ou siga-nos no LinkedIn, Facebook e Twitter.