E-mail de recuperação do WhatsApp: entenda como a verificação em duas etapas pode ser burlada para roubar uma conta

E-mail de recuperação do WhatsApp: entenda como a verificação em duas etapas pode ser burlada para roubar uma conta
Tira-dúvidas explica como golpistas podem se aproveitar do e-mail de recuperação para roubar uma conta do WhatsApp com a confirmação em duas etapas ativada. Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores às terças e quintas-feiras.

Tira-dúvidas explica como golpistas podem se aproveitar do e-mail de recuperação para roubar uma conta do WhatsApp com a confirmação em duas etapas ativada.

Sam Azgor / Flickr

O blog recebeu a dúvida de um leitor que caiu em um golpe que tenta roubar a conta de WhatsApp. Esse é um golpe bem comum, no qual o criminoso inventa uma história para pedir um código que a vítima recebe por SMS – só que o código é o do WhatsApp.

No caso do leitor, ele estava com a confirmação em duas etapas ativada – uma proteção recomendada que dificulta esse tipo de ataque. Por isso, logo após o ataque, ele recebeu um e-mail.

Veja o relato:

Caí no golpe do WhatsApp. Recebi uma ligação de alguém se passando pela central dizendo que iria remover meu anúncio e me pediu o código que recebi por SMS. Passei esse código, aí pediu para eu entrar no e-mail para clicar em um link.

Nesse momento eu suspeitei, desliguei, não tomei mais nenhuma ação e excluí após descobrir que o e-mail se tratava de uma recuperação de PIN que supostamente tinha esquecido.

Entrei no meu WhatsApp em seguida. Fui informado que minha conta estava sendo usada por outro aparelho, e então me pediu os códigos de segurança. Passei por essas etapas com sucesso e voltou tudo normal, aparentemente.

A "Confirmação em duas etapas" estava ativada em minha conta. – Orsoli

O leitor então mandou uma série de dúvidas – todas estão respondidas abaixo. Antes disso, vamos entender o que aconteceu, como esse golpe funciona e, principalmente, por que tudo indica que os golpistas não conseguiram acessar a conta.

O início do golpe é bastante comum: os golpistas encontram seu telefone na internet – muitas vezes em um anúncio de algum produto à venda – e se passam por um funcionário do site.

Também há casos em são oferecidos descontos e promoções. Além de telefonemas, o contato pode ocorrer por meio de mensagens dentro do próprio WhatsApp e no Instagram.

Ao longo da conversa, o criminoso vai acabar pedindo um código de seis dígitos que chega por SMS – o código de autorização do WhatsApp.

Se o código não for informado, nada mais acontece. Mas se você entregar o código, o criminoso tenta autorizar sua conta em um celular que ele possui.

A continuação do golpe vai então depender da sua segurança – se você tem ou não a confirmação em duas etapas ligadas.

Ao perder sua conta do WhatsApp, toque imediatamente no botão 'Confirmar' no aviso que aparece na tela do seu celular para derrubar o acesso do invasor.

Reprodução

Sem a confirmação em duas etapas

Se a confirmação em duas etapas não estiver ativada, ele entra na sua conta imediatamente, recebendo acesso aos seus grupos.

Nos grupos, o invasor encontrará contatos para enviar mensagens pedindo dinheiro.

Para interromper o golpe nessa fase, você precisa tentar ativar o WhatsApp no seu celular o quanto antes.

Você não vai conseguir completar a autorização, porque o criminoso liga a confirmação em duas etapas, e você não terá a senha (PIN). Mas, só por iniciar a autorização com o código do SMS, você derruba o acesso do criminoso.

Depois, é preciso esperar sete dias corridos para que a senha configurada deixe de valer. Passado esse prazo, você pode ativar o seu WhatsApp novamente.

WhatsApp permite configurar e-mail para redefinir PIN em caso de esquecimento. É preciso proteger a conta deste e-mail para garantir o funcionamento da verificação em duas etapas.

Reprodução

Com a confirmação em duas etapas

Se a confirmação em duas etapas já estava ligada, o criminoso não vai conseguir acessar sua conta com o código do SMS, mas ele pode derrubar o seu acesso do WhatsApp.

Isso acontece porque o código de seis dígitos inicia a autorização do aplicativo. Mas, com a confirmação em duas etapas em funcionamento, ele não finaliza o processo. Sua conta não fica autorizado em aparelho nenhum.

O criminoso então é obrigado a tentar conseguir o seu PIN da confirmação em duas etapas. Ele pode tentar inventar um pretexto para pedir o seu PIN (que não deve ser fornecido a ninguém) ou adivinhá-lo (se você usou sua data de nascimento, por exemplo, isso pode ser fácil).

Fora isso, a única coisa que o criminoso pode fazer é recorrer à opção "esqueci o meu PIN".

Essa função envia um e-mail a você com um link para desativar a confirmação em duas etapas. São dois passos: você precisa clicar no link do e-mail e depois em mais um botão que vai aparecer na tela.

Página de confirmação para desativar verificação em duas etapas do WhatsApp.

Reprodução

Se você desativar a verificação através desse e-mail, a sua conta será autorizada no aparelho do criminoso imediatamente. Ele não vai precisar convencer você a fornecer o código de SMS outra vez.

No seu caso, como você aparentemente não seguiu o link no e-mail, a sua confirmação em duas etapas nunca foi desativada. Sendo assim, o golpe foi interrompido.

A mensagem de que o WhatsApp foi ativado em outro aparelho pode ser confusa. Se você usa confirmação em duas etapas, isso só significa que o processo de autorização foi iniciado.

O seu caso é um bom exemplo da importância da confirmação em duas etapas. Ela evita que pequenos descuidos levem ao roubo da conta do WhatsApp.

Veja agora as perguntas e respostas:

Conseguiram acessar a conta nesse caso? Existe a possibilidade de ainda terem acesso? Tudo indica que não, porque a confirmação em duas etapas não foi desativada pelo e-mail. Se não houvesse a confirmação em duas etapas ou ela tivesse sido burlada, a invasão teria sido bem-sucedida.

Roubaram alguma informação? Como não houve acesso, nenhuma informação foi roubada. O acesso ao WhatsApp concede as informações sobre os grupos, mas não às mensagens antigas.

Fui vítima de um estelionatário? Sim. Esse golpe, quando bem-sucedido, é utilizado para roubar a conta do WhatsApp e, em seguida, solicitar dinheiro aos contatos, principalmente os contatos de grupos.

Preciso acionar o suporte do app, fazer um boletim de ocorrência ou reinstalar o app? Você pode registrar um boletim de ocorrência on-line na Polícia Civil do seu estado. Nenhuma outra medida é necessária. O WhatsApp raramente auxilia usuários em tempo hábil nestes casos, pois, mesmo quando a invasão ocorre, a conta fica inacessível por no máximo uma semana.

Preciso mudar o PIN? Como não houve acesso, não é preciso mudar o PIN. Normalmente, os golpistas configuram ou trocam o PIN, o que obrigaria você a redefinir o PIN para recuperar sua conta.

Preciso ficar sete dias sem o app? Não. Sete dias é o prazo para quem foi vítima do golpe até o fim, teve sua conta de fato roubada e não consegue ativá-la por causa da confirmação em duas etapas configurada pelo golpista.

Preciso ligar para a operadora e solicitar um novo chip? Não. Em alguns casos, esses golpes podem acontecer por conta de transferência da linha e, nessas ocasiões, o chip para de funcionar. Se o seu chip ainda não está funcionando (você consegue fazer chamadas normalmente), não é preciso fazer nada.

Dúvidas sobre segurança digital? Envie um e-mail para [email protected]

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Veja como proteger o seu celular:

Celular é a nova carteira: veja dicas para manter seu aparelho seguro

Veja mais dicas para se manter seguro na internet: