Depois que o telefone do CEO da Amazon, Jeff Bezos, foi comprometido por um vídeo malicioso enviado via WhatsApp, provavelmente muitos de vocês passaram a pensar na segurança deste aplicativo e do seu próprio telefone, e na facilidade com que é possível sofrer um ataque. Existem muitas ferramentas, dicas e truques para proteger melhor os dois bilhões de usuários do WhatsApp contra cibercriminosos, mas a verdade é que, se um cibercriminoso se esforçar um pouco mais, não podemos fazer muitas coisas além de nos proteger da melhor maneira possível e esperar que os invasores escolham alvos mais desprotegidos.
Mas quando se trata de WhatsApp, há algo mais que podemos fazer para proteger nossa conta? As mensagens já estão criptografadas, o que significa que as autoridades legais não podem investigar essas conversas particulares, mas existe outra maneira? A chave de criptografia de uma mensagem do WhatsApp está presente nos dois dispositivos que estão sendo usados na conversa; portanto, um cibercriminoso precisaria colocar as mãos em um dos dois dispositivos para ler esses chats.
É aqui que a maioria dos leitores pode pensar que seus dispositivos estão seguros, já que contam com um PIN complexo ou uma senha biométrica. No entanto, o que aconteceria se outros usuários pudessem invadir sua conta de WhatsApp com o seu número de telefone? Isso é muito possível e assustadoramente fácil, mas existem formas de reduzir o risco e impedir que isso aconteça na sua conta. Irei explicar como fazer isso no final deste post.
Então, qual é o problema?
Quando você compra um telefone novo e instala todos os aplicativos e configurações existentes, o dispositivo restaura um backup que foi anteriormente realizado em outro dispositivo. No caso do WhatsApp, o aplicativo exige que um código seja enviado para um número de telefone. Este código (normalmente enviado para o dispositivo em que você está instalando o aplicativo) validará o telefone e recuperará seus grupos e contatos. Caso você também tenha um backup de suas mensagens, elas aparecerão tendo em conta a última vez em que foi realizado um backup do dispositivo. Caso contrário, os nomes das pessoas e dos grupos nos quais você está participando serão exibidos sem as mensagens.
Foi aqui que notei uma falha em potencial. Posso configurar a conta de WhatsApp de outra pessoa em um novo dispositivo simplesmente obtendo o código enviado ao telefone da outra pessoa?
Decidi testar minha hipótese com um dos meus colegas na semana passada (que já deve estar no limite em relação aos meus testes de engenharia social, mas continua feliz em poder participar). Observação: Não realize este tipo de teste no dispositivo de alguém que não tenha permitido!
Recentemente, destaquei para esse meu colega que, caso isso já não fosse uma prática, seria fundamental fazer um backup dos grupos e mensagens do seu WhatsApp, pois, no caso de um incidente, não seria nada interessante perder todas essas informações. Alguns dias depois, usei um telefone “reserva” e baixei o aplicativo. O WhatsApp imediatamente pediu meu número de telefone para verificar o dispositivo no qual ele seria instalado.
Não demorou muito para que o meu colega deixasse seu lugar de trabalho para tomar um café. O problema é que ele deixou seu telefone exposto sobre a mesa. Aproveitei este momento e digitei o número de telefone dele na minha nova conta do WhatsApp. O telefone do meu colega recebeu instantaneamente uma mensagem (silenciosamente). Eu passei rapidamente pela mesa dele e memorizei o código. Digitei este mesmo código no campo de verificação no meu telefone “reserva” e consegui: eu estava com o controle da conta de WhatsApp do meu colega.
Consegui ver todos os grupos no aplicativo, mas não as mensagens. Para levar meu teste para o próximo nível, encontrei um grupo chamado "The Hunz", para o qual enviei a mensagem "Hey! Estou tendo um péssimo dia... alguém pode enviar memes!” Imediatamente: recebi uma tonelada de respostas engraçadas de seus amigos.
Meu colega voltou para a mesa com o seu café, mas não percebeu nada. Demorou alguns minutos para que ele olhasse o telefone e falasse em voz alta: "Isso é estranho, recebi um código do WhatsApp por algum motivo". Notei seu olhar pensativo, mas também observei que ele apenas excluiu o código que havia chegado.
Eu imediatamente me aproximei e contei o que havia acontecido. Ele não podia acreditar no quão fácil tinha sido invadir sua conta e se deu conta da falta de segurança. Ele destacou algo que é bastante real: muitas pessoas negligenciam seus telefones e não pensam nos riscos, inclusive em locais públicos, como restaurantes e bares. Rapidamente restaurei a conta no seu telefone e, em seguida, destaquei algumas dicas de como ele pode se prevenir contra esse tipo de ataque.
Então, como é possível estar seguro?
Em primeiro lugar, desative a visualização prévia de mensagens SMS. Esta dica pode parecer óbvia, mas muitas pessoas preferem ter esta opção ativa para poder visualizar as mensagens de forma mais rápida. Ao ativar a autenticação de dois fatores (também conhecida como duplo fator de autenticação) sem o aplicativo de autenticação, os usuários normalmente recebem um código via SMS, mas isso não tem sentido se este código pode ser visto através de uma tela bloqueada.
Em segundo lugar, você nunca deve perder de vista o seu telefone ou dispositivo. Já vi várias pessoas dormirem no trem com seus telefones à vista ou até irem ao banheiro em restaurantes enquanto deixavam seus telefones rodeados por estranhos. Além disso, existem muitas “maçãs podres” nas empresas. Portanto, mesmo que você confie em seus colegas, sempre há uma chance de alguém poder testar esse vetor de ataque.
Para finalizar, existe uma maneira ainda melhor de proteger sua conta. Ative a confirmação em duas etapas no WhatsApp, pois é simples de configurar e impedirá que esse ataque seja bem-sucedido. Veja como fazer isso:
Como configurar a confirmação em duas etapas no WhatsApp
Para ativar a confirmação em duas etapas, no WhatsApp abra: Configurações (Android) / Ajustes (iOS) > Conta > Confirmação em duas etapas > ATIVAR. Em seguida, digite um código de seis dígitos que você deve memorizar.
Logo depois, insira seu endereço de e-mail como uma camada adicional de segurança. Pronto, agora você verá a confirmação da verificação em duas etapas configurada no seu telefone, o que significa que será muito mais difícil alguém invadir sua conta ou transferir suas mensagens para outro dispositivo.
Após ativar a confirmação em duas etapas, o app solicitará o PIN em momentos aleatórios ao abrir o WhatsApp. Não será sempre que você abrir o aplicativo, por isso não deve ser um problema. No entanto, você estará mais preparado para aproveitar a tecnologia de uma forma muito mais segura.