Há aproximadamente um ano atrás foi noticiado que os pagamentos através do WhatsApp foram suspensos pelo Banco Central (BC) pela falta de uma análise adequada do serviço e seus eventuais impactos. No entanto, no início deste mês, após a conclusão da análise sobre as novas funcionalidades do aplicativo, o pagamento no WhatsApp começou a ser disponibilizado tanto nos dispositivos Android como IOS.
Sabendo disso, resolvi pesquisar informações sobre como funciona esse novo recurso e, claro, entender os eventuais riscos associados à sua utilização. Para isso, segui os passos que todo usuário poderia seguir: fui até o site do WhatsApp e pesquisei sobre a nova funcionalidade.
O uso da nova funcionalidade é bem simples e intuitivo. Para enviar dinheiro a algum contato que tenha esta funcionalidade habilitada, basta abrir a conversa e selecionar o ícone de enviar anexo, em seguida escolher a opção "Pagamento".
Caso todos os requisitos para envio de valores já tenham sido satisfeitos, basta digitar a quantia que deseja enviar, preencher o PIN para autorizar a execução da função e pronto - o dinheiro será enviado e aparecerá como uma mensagem na conversa informando o valor da transação. Aí vem a pergunta: um processo tão simples assim é realmente seguro?
Apesar de não haver informações técnicas sobre os processos dedicados a proteção das transações no site do WhatsApp, é possível observar uma série de pontos sobre a segurança da funcionalidade que nos auxiliam a responder a essa pergunta.
Aval do Banco Central
O primeiro deles é um que citei anteriormente, essa funcionalidade foi autorizada pelo BC após uma análise de funcionalidades.
O BC, dentre muitas outras atribuições, é quem estipula as normas que devem ser adotadas para transações financeiras no Brasil. Ele aplica esses critérios de análise para diversos sistemas e instituições, ou seja, como a funcionalidade de pagamento via WhatsApp foi aprovada, significa que esse recurso detém os mesmos padrões de operações e segurança que diversos outros aplicativos e funcionalidades que usamos frequentemente em nosso dia a dia.
Integrações confiáveis
Os pagamentos via WhatsApp no Brasil acontecem com a integração das bases já bem estruturadas do Facebook Pay, que é a engrenagem por traz dessa funcionalidade, e serão processadas pela Cielo, estabelecida há muitos anos no Brasil, atuando com diversos tipos de serviços financeiros.
PCI-DSS
A página do WhatsApp cita que os dados de cartões são protegidos por criptografia, segundo requisitos do PCI. O PCI-DSS (sigla em inglês para Payment Card Industry Data Security Standard), como o nome já diz, estipula padrões de segurança para instituições que manipulem dados de cartões.
Apesar da página oficial do WhatsApp citar apenas a criptografia, que é um dos muitos pontos pertencentes ao escopo do PCI-DSS, e eu não ter encontrado informações sobre o Facebook Pay estar em conformidade com o PCI como um todo, o fato da empresa apontar o PCI como ponto forte indica que ela segue ao menos alguns de seus requisitos, que são mundialmente adotados pela indústria de cartões.
Requisitos de utilização
Mencionei anteriormente que havia alguns requisitos a serem satisfeitos para que o pagamento do WhatsApp seja habilitado. São eles:
Instituição financeira: até o momento de produção deste artigo, as instituições financeiras que se habilitaram para participar dos pagamentos via WhatsApp são:
- Banco do Brasil: Visa
- Banco Inter: Mastercard
- Bradesco: Visa
- Itaú: Mastercard
- Mercado Pago: Visa
- Next: Visa
- Nubank: Mastercard
- Sicredi: Mastercard e Visa
- Woop, a conta digital da Sicredi: Visa
Apenas usuários que possuam cartões de débito, múltiplo ou pré-pago, nas instituições supracitadas poderão enviar e receber pagamentos com a nova funcionalidade.
Cadastro prévio: no primeiro envio de recursos via WhatsApp será solicitado ao usuário uma série de passos para o cadastro da forma de pagamento. Para completar essa etapa o usuário deve ler e aceitar os termos de serviço do novo recurso, criar um PIN de segurança para o Facebook Pay e confirmá-lo, inserir os dados do titular da conta, preencher os dados do cartão de débito de uma das instituições citadas, validar o cartão por SMS, e-mail ou pelo App do banco e só então estará apto ao envio e recebimento de recursos.
Mesmo sem informações técnicas detalhadas, baseado nessas informações que citei, é possível inferir que a utilização do recurso é segura.
O recurso é seguro, mas...
Quando se trata de segurança da informação, quase sempre existe a conjunção adversativa “mas” no meio da história.
Apesar da funcionalidade ter componentes robustos de segurança, é necessário ficar atento aos golpes, pois diversos outros softwares e serviços também são seguros e os criminosos arrumam um jeito de fazer vítimas utilizando-os.
Mesmo ficando em alerta para enviar dinheiro para alguém, a estrutura exigida pelo Facebook Pay possui várias etapas, o que torna o trabalho dos criminosos bem maior para cometer algum tipo de fraude usando o pagamento via WhatsApp. Ainda assim, vale ressaltar eventuais cenários em que isso pode acontecer.
Sequestro de WhatsApp
Os processos de roubo de WhatsApp já são populares há algum tempo, mas, para que esse tipo de golpe habilite os criminosos a receber quantias em dinheiro é necessário utilizar a técnica chamada SIM Swap. Usando esta técnica o criminoso terá acesso a um chip que contém as mesmas informações do chip da vítima e, com isso em mãos, poderá cadastrar o WhatsApp em seu dispositivo e vincular um outro cartão para receber valores dos contatos das vítimas. A técnica é necessária, pois o WhatsApp exige as validações citadas anteriormente feitas diretamente no celular da vítima. Caso a vítima já tenha um cartão previamente cadastrado, os criminosos irão necessitar também do PIN utilizado no Facebook Pay, o que torna o processo ainda mais difícil, mas possível.
Roubo de dispositivo
Outra possibilidade de golpe que pode utilizar o pagamento via WhatsApp é quando o dispositivo da vítima é subtraído. Caso os criminosos tenham acesso direto ao dispositivo da vítima, é o cenário mais propício para golpes envolvendo recebimento de valores, já que boa parte das validações são feitas baseadas no dispositivo. Similar ao cenário anterior, caso a vítima já tenha um cartão vinculado, o criminoso necessitará de informações adicionais, mas, em posse do dispositivo, os processos de recuperação de acesso podem ser tomados para criar uma nova chave, principalmente se a vítima deixar e-mails e outras contas autenticadas nos apps do dispositivo.
Engenharia social
Uma das possíveis abordagens para criminosos é a utilização de engenharia social, ou seja, convencer a vítima sobre a necessidade de enviar determinado valor a um número de celular ainda não cadastrado por se tratar de uma dívida que precisa ser paga/promoção imperdível/urgência de saúde com algum parente ou quaisquer outras desculpas que o criminoso invente para convencê-la. Uma vez cadastrado um número já habilitado a receber estes valores, como citei anteriormente, a transferência acontece com pouquíssimos toques na tela.
Informe-se sempre sobre melhorias de segurança que ocorram nos serviços que utiliza, mantenha smartphones e computadores com todos os programas atualizados e configurados de maneira segura e mantenha-se alerta para abordagens de caráter urgente, independente da história que contarem a você, e, claro, mantenha um software de proteção adequadamente instalado, habilitado e configurado para barrar ameaças. Estes passos auxiliarão a evitar que você seja vítimas de golpe no WhatsApp e em diversos outros meios.
Caso tenha ficado com alguma dúvida ou sugestões de temas relacionados à segurança da informação que gostaria que abordássemos nas próximas publicações, conte-nos nos comentários.
Veja também: Privacidade: diferenças entre WhatsApp, Telegram e Signal