Criminosos estão enviando mensagens para usuários do Whatsapp, se passando por funcionários do Ministério da Saúde que estariam fazendo um cadastro para vacinação contra a covid-19. O alerta foi dado esta semana por empresas de cibersegurança.
A técnica, parecida com a de outros golpes, usa a boa-fé da vitima para driblar até mesmo a dupla autenticação do WhatsApp, recurso que tem a função de impedir que o usuário tenha sua conta roubada e seja vítima de golpes financeiros.
Após abordar a vítima, fingindo ser funcionários do ministério, os criminosos buscam convencer o usuário a fornecer o código de seis números que é enviado via SMS para "confirmar a realização da pesquisa".
Na realidade, os golpistas usam o recurso de pedir a senha da dupla autenticação do usuário, acessando o Whatsapp pelo computador. O código é enviado ao celular da vítima e eles pedem que ela passe os dígitos. Se ela não tiver a autenticação em dois estágios ativados, a conta já pode ser clonada neste momento.
Caso esteja ativada, eles encerram a suposta pesquisa e entram em contato novamente com a vítima, mas, desta vez, se passando pelo suporte do aplicativo de mensagens. Sob a justificativa de que uma atividade maliciosa foi identificada, o usuário é orientado a acessar seu e-mail e realizar o recadastro de dupla autenticação.
"O que mais nos surpreendeu é que tanto a mensagem quanto o link para recuperar a dupla autenticação são legítimos, ou seja, foram enviados pela dona do aplicativo", afirma o pesquisador sênior de segurança da Kaspersky, Fabio Assolini.
"Da mesma forma que podemos solicitar a recuperação de uma senha em uma loja online, podemos pedir a recuperação da dupla autenticação do app, caso a senha seja esquecida. O golpe se vale de engenharia social, forçando as vítimas a clicarem no link recebido", completa.
Assolini explica ainda que os fraudadores permanecem na linha enquanto a vítima acessa o e-mail e o link e ressalta que a página de destino, na realidade, realiza a desativação da autenticação em duas etapas. A ideia é permitir que a pessoa crie uma nova senha ao ativar a função novamente
