São cada vez mais variadas e criativas as formas com que criminosos tentam conseguir acesso a contas bancárias e dados alheios. E o WhatsApp – o aplicativo queridinho dos brasileiros, que conta com 1,5 bilhões de usuários ativos mensais, trocando cerca de 60 bilhões de mensagens no mundo todo – infelizmente não poderia ficar de fora desse cenário.
Recentemente, algumas pessoas se manifestaram por meio de grupos de WhatsApp e redes sociais mencionando um ataque de engenharia social. Aqui, vale uma explicação: engenharia social refere-se à manipulação psicológica de pessoas para a execução de ações ou para que divulguem informações confidenciais e permitam acesso a sistemas, dados e senhas. Esse ataque tem por objetivo o acesso indevido a contas do WhatsApp.
Um amigo relatou que recebeu uma ligação de uma pessoa se passando por funcionário da operadora de telefonia, dizendo que o mesmo deveria ativar uma "camada de segurança" e, para isso, ele deveria informar um código que havia acabado de receber por SMS, o que na verdade tratava-se de um código de recuperação de senha WhatsApp.
Em outro caso, a ligação também conhecida como ataque de voicephishing, foi mais elaborada, o criminoso iniciou e manteve um diálogo com a vítima até se sentir seguro e conseguir um pretexto para induzir a vítima a clicar no link e passar o código de recuperação de senha.
Caso um ataque como esse seja bem-sucedido os danos podem ser enormes, sabemos o quanto o WhatsApp é utilizado a todo momento nos âmbitos pessoais e profissionais. O criminoso teria acesso a fotos, arquivos, grupos e etc.
Diversos investimentos podem ser feitos na área de segurança, mas de nada irá adiantar se o colaborador não estiver preparado para lidar com estas "investidas". Ataques por meio de mensagens ou telefonemas podem ser extremante eficazes e devastadores, um e-mail falso ou uma ligação ardilosa podem fornecer a um invasor acesso a suas informações e sua rede.
Realizamos periodicamente, para nossos clientes, ciclos de testes que são compostos por campanhas de conscientização e ataques de engenharia social, a fim de conscientizar e treinar os colaboradores a estarem atentos a este tipo de ameaça. Um jornalista americano esteve na Defcon, um dos maiores eventos hackers do mundo, com o objetivo de desafiar hackers a invadirem sua vida virtual.
Portanto caros amigos e leitores, estejam atentos, desconfiem, questionem, tenham o máximo de zelo e cautela com suas respectivas informações. Todo cuidado é pouco!
Oliveira Lima Jr., pesquisador em Cybersecurity no Real Protect Security Red Team.