A forma como os cibercriminosos utilizam o WhatsApp para cometer algum tipo de fraude é muito variada e existem diversas modalidades. De acordo com um levantamento da Mobile Time e Opinion Box, 43% dos usuários no Brasil já foram vítimas de tentativas de golpe dentro do aplicativo.
A ESET garante que a maioria das fraudes que circulam no WhatsApp usam engenharia social, ou seja, manipulam o usuário para acreditar no criminoso e realizar ações que beneficiem o golpista.
Muitas dessas modalidades compartilham características em comum, como mostra a ESET:
1) Falso aniversário de uma marca: começa com uma mensagem enviada dizendo que uma marca está celebrando seu aniversário e está oferecendo algum presente ou benefício com um link para que a vítima possa acessar seu prêmio. Mas antes de obtê-lo, deve responder um questionário e para continuar, é preciso compartilhar a mensagem com uma determinada quantidade de contatos. No entanto, o prêmio nunca se materializa e o usuário é redirecionado para sites que exibem publicidades invasivas. Em alguns casos, as campanhas maliciosas pedem para a vítima baixar aplicativos suspeitos, que geralmente terminam na instalação de algum tipo de adware, um tipo de software maligno que exibe publicidade invasiva e coleta informações da vítima.
2) Falso auxílio econômico: os golpistas se aproveitam das necessidades econômicas dos cidadãos para enganá-los e roubar seus dados pessoais como nome, data de nascimento, número de documento, nacionalidade, entre outros, utilizando imagem e nome de órgãos governamentais. Além de comercializados em fóruns, esses dados são utilizados por criminosos para a realização de outras fraudes. Esse golpe geralmente começa por uma mensagem sobre um programa de ajuda solidária para determinados setores da população e convidam aqueles que cumprem os requisitos a se inscrever e receber a ajuda. Os usuários devem preencher um formulário, mas estas informações são coletadas por quem está por trás da fraude.
3) Golpes aleatórios para obter dados pessoais: começa com uma mensagem de um número desconhecido, se passando por uma pessoa que a vítima conhece e que está em outro país com o objetivo de pedir ajuda para um pequeno acidente. Em seguida, o suposto conhecido diz que está voltando para o país e está com problemas com o passaporte e não pôde embarcar no avião, mas que as malas saíram. Então, pergunta se ele poderia recebê-los e, caso a vítima aceite, o golpista pede fotos de seu documento de ambos os lados para fazer o procedimento necessário para que a vítima possa receber as malas inexistentes.
4) Ferramentas para espionar o WhatsApp: nas tendências de pesquisa do Google, o termo “spy whatsapp” é muito pesquisado, o que mostra um interesse de usuários que procuram uma maneira de espionar as conversas de terceiros. Os golpistas sabem disso e muitos sites de reputação duvidosa prometem soluções de espionagem com o objetivo de coletar informações daqueles que decidem experimentar esses aplicativos, extensões ou serviços online.
5) Roubo da conta do WhatsApp: a vítima recebe em seu telefone uma mensagem de texto ou via WhatsApp perguntando se ela pode encaminhar o código de seis dígitos que foi enviado por engano para seu telefone. A mensagem pode ser de um contato que perdeu acesso à sua conta ou a partir de um número desconhecido. Se a vítima desprevenida acessar e encaminhar o código que chegou inesperadamente, é provável que perca o controle de sua conta do WhatsApp, se não tiver autenticação de dois fatores habilitada. Outra forma muito frequente que os cibercriminosos usam para roubar contas do WhatsApp é o SIM Swapping, que vai além do WhatsApp e permite o sequestro de outras contas, incluindo credenciais bancárias. Isto ocorre quando os criminosos conseguem enganar a empresa telefônica e obter um chip com o número da vítima, se passando pela pessoa. Dessa forma, eles assumem o controle da linha telefônica e o SMS com o código de verificação chega para o criminoso.
6) Golpes de phishing do WhatsApp: uma vez que eles ganham acesso, os criminosos usam contas de diferentes maneiras. Por exemplo, se passar pelas vítimas. Para isso, eles geralmente baixam a lista de contatos, a foto do perfil da conta e outras informações relevantes caso queiram criar um perfil falso com outro número. Mas os golpistas também conseguem se comunicar diretamente pela conta roubada com familiares e amigos para solicitar dinheiro para uma suposta emergência ou convencê-los a realizar alguma outra ação. Em golpes mais sofisticados, os criminosos conseguem entender como os dados roubados estão conectados entre os serviços, a partir do acesso de uma conta de e-mail. É dessa forma que eles conseguem realizar o roubo de identidade por meio do WhatsApp.
7) Atualizações falsas com novos recursos para o WhatsApp: esses golpes referem-se ao lançamento de uma versão do aplicativo com novos recursos. A ESET observou exemplos dessas fraudes convidando a vítima a baixar o WhatsApp rosa e outras cores, como azul ou nomes como o WhatsApp Plus. O WhatsApp rosa, por exemplo, longe de ser uma campanha inofensiva, baixa um Trojan no celular da vítima.
8) Distribuição de malware via WhatsApp: a ESET analisou malwares que se espalharam pelo aplicativo e tentaram enganar as vítimas para baixar uma aplicação de um site que se passa pelo Google Play. Uma vez instalado o app malicioso, qualquer mensagem que chegasse ao dispositivo da vítima era automaticamente respondida com um texto personalizado, que incluía um link para baixar o aplicativo falso.
“A principal recomendação é aprender a desconfiar. Não clique em nenhum link que receber ou preencha com informações pessoais qualquer formulário que chegue até você. A segunda coisa é ativar a autenticação de dois fatores no WhatsApp e, se possível, usando um aplicativo de autenticação e não SMS. Desta forma, é possível evitar o sequestro de contas. Além disso, é aconselhável ter uma solução de segurança instalada, configurada e atualizada no dispositivo, que permite identificar e bloquear os sites ou arquivos maliciosos geralmente usados neste tipo de fraude”, finaliza Camilo Gutiérrez Amaya, Chefe do Laboratório de Pesquisa da ESET América Latina.
