Piratas informáticos recorrem ao voicemail para roubar contas de WhatsApp

O método de ataque foi descoberto há um ano por um programador israelita da Oath (subsidiária da Verizon que detém a AOL e Yahoo!), mas regressa agora às notícias depois da Agência Nacional de Cibersegurança de Israel ter alertado os cidadãos para uma nova vaga de roubos de contas de WhatsApp.

Os atacantes só necessitam do número de telemóvel do utilizador, que pode nem se aperceber do roubo. E, segundo explica a empresa especialista em segurança Sophos no seu blogue, apoiam-se no facto de a maioria dos utilizadores não alterar as credenciais de acesso aos correio de voz (voicemail), disponibilizadas por defeito pelas operadoras móveis.

Mas, afinal, como pode um atacante obter controlo das sua conta de WhatsApp?

Primeiro, o atacante tenta adicionar a sua conta de WhatsApp no telemóvel dele - normalmente enquanto a vítima está a dormir ou a voar. Este pedido faz com que a rede social envie um código de seis dígitos por SMS para o seu telemóvel que, se tiver o telemóvel desligado ou em modo de voo, não o vê.

Depois de várias tentativas de envio de mensagens, o WhatsApp vai pedir ao dono do telemóvel onde a conta está registada para fazer uma verificação de voz. Se não atender, o WhatsApp deixa o código de verificação numa mensagem de voicemail.

É neste momento que o atacante entra em ação e aproveita uma falha comum à maioria das operadoras móveis, que permitem o acesso remoto a qualquer conta de voicemail de um cliente: insere o código PIN para acesso ao voicemail que, regra geral, é 1234 ou 0000. E assim consegue ouvir a mensagem de voz com o código e, consequentemente, ter acesso à sua conta de WhatsApp.

Tendo acesso à sua conta, o atacante pode ativar a 'Confirmação em dois passos' (uma funcionalidade introduzida pelo WhatsApp em 2017), definir um novo código de seis dígitos e evitar assim que a vítima volte a ter controlo sobre a sua conta. 

O que fazer então para evitar os ataques? Para evitar que a sua conta de WhatsApp seja pirateada, deve alterar as palavra-passe do voicemail para uma mais segura e ativar a 'Confirmação em dois passos' no WhatsApp.

Para a ativar, abra o WhatsApp, vá ao ícone no canto superior direito (menu) e escolha a opção 'definições', seguida de 'conta'. Selecione 'Confirmação em dois passos' e na janela de configuação clique em 'ativar'. O WhatsApp vai pedir-lhe para definir um novo código de seis dígitos, um email de recuperação da palavra-passe e, finalmente, o processo fica concluído e a sua conta mais protegida.

Segundo explica Alberto R. Rodas, líder da equipa de engenharia de vendas da Sophos Iberia, num comentário enviado ao Expresso, este "é um tipo de ataque complicado, pela quantidade de dados que são necessários e pela combinação de fatores que são necessários para que ocorra [ou seja, a vítima ter o telemóvel em modo de voo ou de avião]. Ainda assim, é algo que pode acontecer".

"Os smartphones são pequenos computadores em que guardamos não só fotografias, mas também dados bancários, palavras-passe e emails com informação e dados empresariais", acrescenta o responsável. "Por isso, para proteger os nossos dados é preciso insistir na utilização da verificação de dois passos."

16/12/2018 13:31:52