O criminoso enviou uma mensagem por SMS ou WhatsApp e pediu para reenviar o código PIN de seis dígitos, que teria sido enviado por engano à vítima. Na verdade, o objetivo é diferente: roubar conta do WhatsApp.
Até agora, a única maneira de evitá-los é habilitar a verificação em duas etapas (ou autenticação de dois fatores), que usa uma senha digital criada pelo usuário e solicitada quando o aplicativo é reinstalado.
Mas, de acordo com os especialistas da Kaspersky, os criminosos acabam de encontrar uma maneira de combinar a engenharia social com os requisitos de suporte do WhatsApp para contornar essa proteção.
Nada mudou quando começou. A vítima conhecida um telefonema do criminoso. O criminoso compareceu como representante do Ministério da Saúde e perguntou se poderia investigar a Covid-19.
Toda a etapa tem um objetivo claro: permitir que o pessoal “confirme a conclusão do estudo” por meio do código de seis dígitos enviado por SMS.
Se a vítima não presta atenção à mensagem e informa o código, a conta pode ser roubada. A mudança ocorre quando os golpistas se deparam com uma conta que solicita a senha da autenticação em duas etapas.
Quando isso acontece, eles encerram a ligação da suposta pesquisa e ligam novamente para a vítima. Mas, desta vez, se passam pelo suporte do aplicativo e dizem que a empresa identificou uma atividade maliciosa na conta, e que a vítima deve acessar seu e-mail para realizar o recadastro da dupla autenticação.
O que mais surpreendeu os especialistas da Kaspersky é que, de fato, a vítima recebe uma mensagem de e-mail legítima do WhatsApp com o título “Two-Step Verification Reset” (Resgate da Verificação em Duas Etapas – em tradução livre) com um link para desabilitar a proteção adicional.

“Tanto a mensagem quanto o link para recuperar a dupla autenticação são legítimos, ou seja, foram enviados pelo WhatsApp. Da mesma forma que podemos solicitar a recuperação de uma senha em uma loja online, podemos pedir a recuperação da dupla autenticação do app de mensagens, caso a senha seja esquecida. O golpe se vale de engenharia social, forçando as vítimas a clicarem no link recebido por e-mail”, explica o especialista da Kaspersky.
Assolini finaliza explicando que os criminosos permanecem na linha enquanto a vítima acessa o e-mail e o link e destaca que a página de destino, na verdade, realiza a desativação da autenticação em duas etapas.
“A ideia aqui é permitir que a pessoa crie uma nova senha ao ativar a função novamente. Só que os criminosos aproveitam que a conta está desprotegida e usam o código temporário recebido na primeira ligação para realizar a instalação em um dispositivo deles e assim seguir com o golpe, entrando em contato com amigos e familiares da vítima para pedir dinheiro”, detalha o pesquisador de segurança.
A única forma de evitar cair neste novo golpe é desconfiar ou saber antecipadamente que ele existe. Segundo Assolini, apenas o WhatsApp pode dar uma solução definitiva para isso e acabar com os golpes de sequestro de contas.
“Do ponto de vista da segurança, o aplicativo deve melhorar o processo de recuperação da dupla autenticação permitindo o recadastro na própria página da empresa, em vez de realizar a desativação. Desta forma, este esquema seria inviabilizado”, conclui.
Para se proteger, Assolini recomenda que os usuários ativem a autenticação em dois fatores e jamais desativem este recurso, a não ser que esqueçam a senha e tenham tomado esta decisão por conta própria.
Com informações do Olhar Digital
Fonte: Swelivesecurity