19 de março de 2024
Tecnologia

Golpistas estão tentando clonar WhatsApp de vendedores da OLX

Imagem: Arquivo Google – Olhar Digital

Criminosos estão tentando clonar o WhatsApp de vendedores da OLX, se passando por atendentes do marketplace para obter códigos de verificação do mensageiro a partir de números públicos presentes nos anúncios. Uma vez com o número validado no próprio celular, o golpe tenta atingir os contatos da vítima, com pedidos de transferência de dinheiro para necessidades urgentes.
A dinâmica é direcionada, mas pouco arrojada. Ao telefone, o golpista se faz passar por um funcionário da OLX e começa a confirmar dados do anúncio feito pelo usuário, citando informações como preço, localização geográfica e outras condições do produto, o que ajuda a dar aparência de legitimidade ao contato. Enquanto conduz toda a conversa, ele tenta validar o número do WhatsApp da vítima em potencial em outro aparelho, o que envia um código de verificação para o celular da pessoa.
É aí que o golpe entra em ação, com o falso atendente solicitando que o código seja fornecido para confirmar o anúncio e validar o atendimento. Como o alerta vem durante a chamada e a pessoa está distraída ao telefone, ouvindo inclusive que seu anúncio pode ser retirado do ar caso não haja a confirmação, ela pode acabar passando o código sem perceber.
Golpistas se aproveitam do fato de a OLX divulgar telefones dos anunciantes para tentar aplicar golpes (Imagem: Reprodução/Felipe Demartini)
O golpe não é necessariamente novo, mas o fato de agora ser aplicado via ligação telefônica confere um novo formato a ele. Em maio de 2019, a Kaspersky, especialista em segurança da informação, já havia emitido alerta sobre golpes semelhantes envolvendo marketplaces como a OLX e sempre focados no roubo de contas no WhatsApp. Entretanto, na ocasião o pedido pelo número de confirmação do WhatsApp chegava por SMS, método usado para conduzir todo o golpe. O contato também acompanhava a mesma pressão de agora, com citações a um grande número de reclamações sobre um anúncio e a possibilidade de ele ser retirado do ar caso o vendedor não passe pelo processo de verificação.
Depois de tomarem conta do WhatsApp, os bandidos fazem pedidos de dinheiro a familiares e amigos próximos da vítima. Os valores variam, mas, de acordo com a Kaspersky, giram em torno dos R$ 2 mil, uma quantia considerada não grande o suficiente para levantar suspeitas nem pequena demais para que o trabalho dos golpistas não valha a pena. Os ataques são feitos em massa, já que há pouco tempo até que o usuário perceba ter sido clonado e tome atitudes para recuperar sua conta.
Ao Canaltech, Fábio Assolini, analista sênior de segurança da Kaspersky Lab, explica que o golpe atinge não apenas os usuários da OLX, mas também de outros marketplaces como Zap Imóveis e Webmotors. E como se trata de um ataque envolvendo engenharia social, mesmo usuários com conhecimento podem cair. “O esquema utiliza recursos legítimos e não envolve programas maliciosos para roubar a conta”, explica, citando que até mesmo amigos da comunidade de segurança acabaram sendo vítimas.
Por mais que os ataques aconteçam fora das plataformas, o especialista chama a atenção para medidas que podem ser tomadas por elas para proteger os usuários. “As empresas podem reavaliar o uso de autenticação de dois fatores via SMS e as informações que são expostas por padrão”, afirma. Apesar disso, ele pondera que não há uma solução milagrosa, mas que as plataformas podem criar soluções para trazer mais segurança aos envolvidos.
Tentativas de golpe também acontecem por mensagens de texto e podem atingir usuários da OLX, Webmotors, Zap Imóveis e outros marketplaces
O que dizem as empresas
Além de prestarem atenção a chamadas e mensagens suspeitas, a recomendação é que os usuários ativem a autenticação em duas etapas do WhatsApp, que passa a exigir não apenas o código por SMS, mas também uma senha numérica na tela do próprio celular. “Mesmo que a vítima informe o número de verificação, isso já sai do contexto do anúncio e a pessoa pode perceber a fraude antes de ser tarde demais”, completa Assolini.
Em contato com o Canaltech, a OLX disse investir em tecnologia e orientações para trazer mais segurança a seus usuários. Guias com as melhores práticas de negociações, alertas e comunicados da própria plataforma servem como acessório a práticas como a exigência de login para acesso ao chat e iniciar uma conversa, bem como no acesso a números de celulares.
A empresa ainda afirmou estar trabalhando em novos métodos de verificação, como uma validação de números celulares para utilização do chat. “A OLX não solicita informações que permitam acesso à sua conta nem condiciona a publicação de seu anúncio ao envio de qualquer dado pessoal”, afirma, em comunicado. O marketplace também repete a indicação do especialista em segurança para que a verificação em duas etapas do WhatsApp seja ativada de forma a proteger os perfis.
Em resposta à reportagem, a assessoria do WhatsApp também encaminhou um comunicado em que indica as melhores práticas de segurança na utilização do app. Segundo o mensageiro, os usuários jamais devem passar códigos de verificação recebidos por SMS a terceiros, uma vez que essa é uma senha pessoal para acesso. Alertas sobre isso já são enviados a utilizadores do Android e em breve chegarão às novas instalações no iOS.
Além disso, o mensageiro também recomenda que, ao perceber problemas, os usuários informem amigos e familiares para que eles também não caiam no golpe. O WhatsApp lembra que a criptografia de ponta a ponta impede que golpistas tenham acesso às mensagens antigas de uma conta e recomenda a ativação da autenticação em duas etapas como camada extra de segurança.
Como proteger sua conta
Ativar a autenticação em duas etapas do WhatsApp é a melhor maneira de se proteger contra a clonagem de contas do mensageiro (Imagem: Reprodução/Felipe Demartini)
Para ligar a verificação em duas etapas no WhatsApp, acesse o menu de Ajustes do mensageiro. Em “Conta”, acesse a opção “Confirmação em duas etapas” e toque em “Ativar”,
Após duas confirmações de código e a adição de um e-mail para recuperação, o recurso estará ativado e o PIN será exibido sempre que o WhatsApp for ativado em um novo aparelho. De tempos em tempos, você também pode ter de inserir o código no próprio celular, outra medida da empresa para impedir o mau uso caso o dispositivo caia em outras mãos que não a do próprio dono.
Fonte: CanalTech

O Boletim

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *