Dados da Kaspersky mostram que o Brasil foi um dos grandes alvos de golpes por phishing, sendo o WhatsApp o maior vetor de transmissão dessa ação dos cibercriminosos. De acordo com diretor da Equipe Global de Pesquisa da empresa, a popularidade da plataforma, aliada à falta de prioridade na defesa das informações e os números de celular desconsiderados como informação privada pelos usuários criou esse ambiente crítico
A Kaspersky divulgou o relatório “Spam e Phishing 2022”, que monitorou as movimentações de golpes envolvendo essas duas ameaças cibernéticas, considerando o cenário global. O Brasil foi o país mais atacado por phishing enviado via WhatsApp no ano passado. Além disso, é um dos líderes dos rankings de números de ataque gerais de phishing, enquanto é o 8º em relação à porcentagem de usuários atingidos pelos golpes.
Existem duas explicações essenciais para essa nova descoberta, segundo o diretor da Equipe Global de Pesquisa e Análise da Kaspersky LATAM, Fábio Assolini. A primeira, envolve a popularidade massiva do aplicativo de mensagens no país e a segunda, trata da falta de filtros eficientes de alerta e bloqueio de links maliciosos disseminados em milhares de frentes diferentes. Essas características somadas à ampla atividade de phishing nacionalmente tornam a situação bastante crítica.
“Claramente, o criminoso foca suas campanhas de phishing em vetores que exponham o maior número de pessoas. E os mais de 110 milhões de usuários do WhatsApp no Brasil fazem dele o vetor mais atrativo. Além disso, até pouco tempo atrás, o aplicativo fazia poucos alertas aos sobre links potencialmente perigosos nas mensagens. Esse tipo de trabalho só começou recentemente”, explicou Assolini em entrevista à Security Report.
Com isso, uma simples vulnerabilidade explorada em uma plataforma tão popular poderia significar a infecção de um alto número de aparelhos. O diretor de Pesquisa ressaltou que a maior parte dos golpes de phishing usando o WhatsApp buscam a disseminação de malwares ou causar algum prejuízo nos dados financeiros, roubando informações sensíveis como dados pessoais e registros bancários.
Dentro do ambiente corporativo, ainda existe um outro agravante. De acordo com Assolini, manter um número pessoal de WhatsApp ativo em um aparelho pode facilitar um esquema de SIM Swap, quando um cibercriminosos é capaz de clonar um número de celular, passando a ter acesso a todas as usabilidades daquele registro, tanto no aparelho quanto em outras funções baseadas nos números, como autenticações de contas bancárias, acesso às redes sociais e uso de chaves PIX.
“Se um número de celular é sequestrado por meros 10 minutos, já é possível causar danos sérios à uma vítima, como account takeovers. À nível corporativo, isso se torna uma bomba com o risco de um C-Level importante tendo seu número exposto devido ao WhatsApp e sequestrado por um simples golpe de SIM Swap, comprometendo todas as contas pessoais ligadas àquele número. Isso explica muitas empresas proibirem seus executivos de instalar o WhatsApp nos celulares corporativos. É uma decisão necessária”, explicou ele.
Esses riscos estão intimamente ligados com o equívoco dos usuários não considerarem os números de celular como um dado crítico e privado. Hoje em dia, esse registro é usado como duplo fator de autenticação em diversas plataformas e serviços web, como e-mails e redes sociais. Além disso, é possível também descobrir quais códigos possuem uma conta de WhatsApp ativa através de um script simples.
Assolini recomenda, em casos de necessidade indispensável de uso do WhatsApp, vincular a conta em números virtuais, tirando-os da posse de operadoras de telefonia nacionais, ainda incapazes de enfrentar corretamente riscos como o SIM Swap. Estando esses números em posse de empresas como Google e Skype ao menos podem dar a garantia de que há alguma proteção mais severa.
Ações de Segurança
Infelizmente o WhatsApp ainda tem feito pouco do necessário para coibir situações de risco citadas. Suas reações têm sido muito aquém da velocidade adequada no enfrentamento de crises. Fábio Assolini lembra que o WhatsApp possui algumas ações em relação à alertas de links maliciosos e alertas de conexões em outros aparelhos. Ainda assim, as propostas são muito incipientes e novas.
“Há uma lentidão ao enfrentar problemas. Como resultado, as pessoas somente confiam na plataforma como app de diálogo e não como solução viável nos negócios, dado o tamanho dos riscos causados por roubos de contas e fraudes. Se essa realidade não mudar, a plataforma continuará sendo usada para disseminar os ataques phishing que colocam o país no topo dos rankings de mais atingidos”, concluiu o pesquisador.
