Um dos maiores problemas de segurança do WhatsApp: você

Por Oliveira Lima Jr*
04 de julho de 2018 - 07h00
Ataques de engenharia social se aproveitam da ingenuidade ou distração do usuário para sequestrar informações sensíveis

São cada vez mais variadas e criativas as formas com que criminosos tentam conseguir acesso a contas bancárias e dados alheios. E o WhatsApp - o aplicativo queridinho dos brasileiros, que conta com 1,5 bilhões de usuários ativos mensais, trocando cerca de 60 bilhões de mensagens no mundo todo – infelizmente não poderia ficar de fora desse cenário.

Recentemente, algumas pessoas se manifestaram por meio de grupos de WhatsApp e redes sociais mencionando um ataque de engenharia social. Aqui, vale uma explicação: engenharia social refere-se à manipulação psicológica de pessoas para a execução de ações ou para que divulguem informações confidenciais e permitam acesso a sistemas, dados e senhas. Esse ataque tem por objetivo o acesso indevido a contas do aplicativo de mensagens.

Um amigo relatou que recebeu uma ligação de uma pessoa se passando por funcionário da operadora de telefonia, dizendo que o mesmo deveria ativar uma “camada de segurança” e, para isso, deveria informar um código que havia acabado de receber por SMS, o que na verdade tratava-se de um código de recuperação de senha do WhatsApp.

Em outro caso, a ligação também conhecida como ataque de voicephishing, foi mais elaborada, o criminoso iniciou e manteve um diálogo com a vítima até se sentir seguro e conseguir um pretexto para induzir a vítima a clicar no link e passar o código de recuperação de senha.  

Caso um ataque como esse seja bem-sucedido os danos podem ser enormes, sabemos o quanto o WhatsApp é utilizado a todo momento nos âmbitos pessoais e profissionais. O criminoso teria acesso a fotos, arquivos, grupos e etc. 

Diversos investimentos podem ser feitos na área de segurança, mas de nada irá adiantar se o colaborador não estiver preparado para lidar com estas “investidas”. Ataques por meio de mensagens ou telefonemas podem ser extremante eficazes e devastadores, um e-mail falso ou uma ligação ardilosa podem fornecer a um invasor acesso a suas informações e sua rede. 

Realizamos periodicamente, para nossos clientes, ciclos de testes que são compostos por campanhas de conscientização e ataques de engenharia social, a fim de conscientizar e treinar os colaboradores a estarem atentos a este tipo de ameaça. Um jornalista americano esteve na Defcon, um dos maiores eventos hackers do mundo, com o objetivo de desafiar hackers a invadirem sua vida virtual.

Portanto, caros amigos e leitores, estejam atentos, desconfiem, questionem, tenham o máximo de zelo e cautela com suas respectivas informações. Todo cuidado é pouco. 

*Oliveira Lima Jr. é pesquisador em Cybersecurity no Real Protect Security Red Team