Internet

Falhas de segurança no Whatsapp deixa milhares de contas reféns de golpistas.

Entenda como essas falhas na verificação da conta estão ajudando golpistas a aplicar milhares de golpes todos os dias.

Historia real, de um usuário leigo que tentei ajuda-lo a recuperar sua conta após cair em um golpe. Talvez você pense, “jamais cairia em um golpe desses”, sim, mas o perfil de usuário, que é uma quantidade considerável de usuários leigos sobre como funciona a internet são afetados diariamente.

Qual a historia?

Meu pai recebeu uma mensagem de um amigo próximo dele (confiável), porém que já estava com a conta do Whatsapp comprometida. A mensagem era pedido um código enviado via SMS para conseguir verificar o Whatsapp e poder enviar uma coisa importante para ele, um caso clássico de Phishing. Então meu pai enviou e imediatamente perdeu o acesso a conta. Seria fácil recuperar se as regras de segurança do Whatsapp não favorecesse esses golpistas.

Vou explicar como os golpistas estão deixando as contas irrecuperáveis, e pode sim ser considerado falhas gravíssimas no Whatsapp, dificultando os usuários legitimos e facilitando as ações dos golpistas:

  • 1º Falha, os golpistas fazem várias tentativas de verificação na conta e o Whatsapp então bloqueia o envio de um novo código de verificação por várias horas (no caso acima, foram 7 horas). Assim, meu pai, um usuário legitimo (que pode confirmar propriedade do número a qualquer momento) não consegue recuperar a conta. Neste tempo os golpistas pediram dinheiro para uma parte dos contatos e aplicaram o mesmo golpe em outra parte dos contatos. Essa falha esta sendo explorada atualmente em grande escala (14-01-2021). Qual seria a solução? fazer o bloqueio por dispositivo ao em vez de fazer pelo número. Outra solução seria adicionar meios de recuperação de conta mais eficientes.
  • 2º Falha, os golpistas ativaram o PIM com e-mail deles. Então mesmo esperando 7 horas, ao tentar recuperar a conta, é solicitado um PIM que foi enviado para o e-mail dos golpistas, sendo assim impossível de recuperar a conta de um usuário legitimo.

Essas são falhas gravíssimas no processo de criar uma nova conta e recuperar uma conta e a historia citada acima é apenas uma das centenas de formas usadas para conseguir acesso a conta e todas elas seriam resolvidas se o Whatsapp tivesse formas mais seguras de verificações de contas.

  1. Whatsapp deveria vincular o número com outras formas de recuperar conta imediatamente, como e-mail e contatos de confiança.
  2. O PIM deve ser configurado também na primeira configuração da conta, o que já impediria o golpe. (App Signal já faz isso).
  3. O e-mail utilizado para enviar o PIM, caso o PIM permaneça opcional, deve ser configurado no ato da primeira configuração também, isso também iria facilitar a recuperação da conta.

Como podemos ver, são três soluções básicas que os concorrentes do Whatsapp possuem.

Posso afirmar que o Whatsapp é seguro para apenas uma parcela da população, aquelas que já configuram um PIM e tem conhecimento sobre Phishing, mas não oferece segurança e facilita a ação de golpistas que aplicam esses golpes em pessoas que não tem conhecimento sobre Phishing. 

Hoje o Whatsapp não é seguro e sua nova política de compartilhamento de dados é o menor dos problemas (para quem considera isso um problema). A recomendação é usar outros aplicativos que fornecem um suporte melhor a todos os usuários.

Compartilhe este artigo com tios, avós, entre outras pessoas que você considera não ter conhecimento sobre Phishing e esse tipo de golpe, pois todos os dias, milhares de pessoas deste publico estão caindo neste golpe.

Esses concorrentes do Whatsapp estão cada vez ganhando mais visibilidade: Telegram, Viber, Signal, Messenger, Skype entre outros.

Muitos portais de notícias estão incentivando a migração e alertando os usuários sobre questões sobre whatsapp, você pode obter mais informações no site da BBC https://www.bbc.com/portuguese/geral-55645074


PIM É como uma segunda senha, um segundo código para verificação da conta.
Phishing é a tentativa fraudulenta de obter informações confidenciais como nomes de usuário, senhas e detalhes de cartão de crédito, por meio de disfarce de entidade confiável em uma comunicação eletrônica. Wikipédia