Topo

Pesquisa sobre covid-19 vira isca para criminosos invadirem seu WhatsApp

iStock
Imagem: iStock

Bruna Souza Cruz

De Tilt, em São Paulo

03/12/2020 04h00

Você atende uma ligação telefônica em que uma pessoa diz estar conduzindo uma pesquisa para o Ministério da Saúde sobre a covid-19. Após um tempo, ela pede que um código recebido via SMS seja informado. É assim que o golpe do sequestro ou clonagem do WhatsApp começa.

Falsos contatos telefônicos e mensagens (via SMS e WhatsApp) que usam o nome do Ministério da Saúde se popularizaram diante da pandemia do novo coronavírus. E continuam fazendo vítimas. Os problemas vão do roubo do perfil de WhatsApp até pedidos de dinheiro em seu nome.

No último dia 13 de novembro, o secretário-executivo do Ministério da Saúde, Elcio Franco, reforçou que a pasta "não está realizando nenhuma pesquisa, tampouco solicita dados particulares via telefone dos usuários do SUS".

Engenharia dos golpes

Os golpistas usam a covid-19 para atrair a atenção das potenciais vítimas. Mas a técnica usada é igual a de outros golpes já descobertos, que usam a promessa de um prêmio, a confirmação de um cadastro ou um pedido de ajuda, entre outras desculpas.

É a variação do "telemarketing do golpe", que também já usou o nome de famosos como Gretchen, Xuxa, Preta Gil e Caio Castro no chamado "Golpe da Festa".

No final, os objetivos principais são os mesmos: sequestrar a conta do WhatsApp da vítima e pedir dinheiro para os contatos dentro do aplicativo.

Em posse do perfil roubado, o golpista pede transferências bancárias como se fosse o próprio dono da conta, com desculpas como: "estou sem acesso ao aplicativo do banco e preciso pagar uma conta urgente", "preciso de um dinheiro emprestado. Devolvo ele amanhã".

Tudo funciona dentro da engenharia social. Não há vírus e nem programas espiões. O que ocorre é o poder da lábia dos criminosos mesmo.

No caso do Ministério da Saúde, o golpista finge ser pesquisador do órgão. O contato acontece por telefone ou mensagens dentro do próprio WhatsApp. A pessoa faz algumas perguntas sobre o novo coronavírus e a covid-19.

Na sequência, a vítima é orientada pelo falso funcionário do ministério a informar um código de seis dígitos que irá receber naquele momento. Esse código é a autenticação do WhatsApp. Uma vez informado, a vítima tem a sua conta roubada.

Panorama do golpe

Só em outubro, estima-se que 2,2 milhões de brasileiros foram afetados por golpes virtuais, segundo a empresa de segurança digital Psafe. No mesmo levantamento, observou-se que mais de 453 mil pessoas já tiveram o WhatsApp clonado no mesmo período. Isso representa quase 15 mil vítimas por dia.

Segundo a empresa, a falsa oferta de emprego foi o tema mais usado nas tentativas de ataques virtuais. Fake news sobre temas de saúde lideram o ranking de desinformação (24 mil detectadas em outubro) pelo WhatsApp e redes sociais.

Como conseguem os números das vítimas?

Muitas vezes, basta uma simples busca na internet para conseguir números de celular. Eles podem estar visíveis em redes sociais ou em plataformas de compra e venda de produtos na internet.

Além disso, existem as falhas de segurança que afetam empresas, sites e aplicativos que guardam dados pessoais de clientes. Vazamentos recentes de sistemas do Ministério da Saúde expuseram informações de 16 milhões de pacientes de covid, além dos dados de 240 milhões de brasileiros, incluindo números de telefone.

Uma evolução do golpe envolvendo o WhatsApp é a clonagem de contas e posterior criação de perfis falsos. Os golpistas só precisam copiar a foto do perfil da vítima. Depois, criam contas com a imagem e começam o processo de extorsão de outras pessoas.

Segundo a empresa de segurança digital Kaspersky, quem tem o perfil "clonado" ou "falsificado" não fica nem sabendo que foi alvo de um golpe. Por isso o alerta é importante.

Como se proteger

A principal recomendação de especialistas em segurança é: mantenha o radar de desconfiança ligado. Jamais informe o código de autenticação do WhatsApp para qualquer pessoa.

"Para se proteger, a primeira recomendação é ficar muito atento aos sinais do golpe: a solicitação de um código. O mais importante é ter a dupla autenticação do WhatsApp ativada. Com ela, mesmo que a vítima seja iludida, o criminoso não conseguirá ter acesso à conta", explica Fabio Assolini, analista sênior de segurança da Kaspersky.

Emilio Simoni, diretor do Dfndr Lab, laboratório de segurança da Psafe, recomenda buscar informações em sites oficiais dos institutos e órgãos como o Ministério da Saúde, usados como motivo do contato telefônico. Lá é possível verificar a veracidade das informações dadas pela pessoa encarregada pela suposta pesquisa.

Outras sugestões dos especialistas são:

  • Mantenha aparelhos com sistema operacional e antivírus atualizados;
  • Desconfie de ligações/mensagens com erros de português, uso de gírias, frases informais e/ou que sejam muito alarmistas;
  • Fique ainda mais em alerta se o interlocutor sugerir a instalação de algum programa em seu aparelho, exigir pagamento e/ou informações pessoais (senhas, documentos pessoais);
  • Não saia por aí compartilhando links suspeitos que recebe no WhatsApp (ou outra rede social);
  • Recebeu algo que chamou a sua atenção? Pesquise se sites confiáveis de notícia estão falando sobre o assunto.

Fui vítima! Como recuperar minha conta?

Caso você tenha sido vítima ou conheça alguém que foi, é importante seguir imediatamente os passos abaixo:

  • Tente reativar o seu WhatsApp em um celular: abra o aplicativo, preencha o seu número e aguarde o recebimento do código SMS de autenticação. Em seguida, digite o número e siga os demais passos.
  • Notifique o WhatsApp: se por algum motivo a restauração do seu perfil não der certo, é preciso informar imediatamente a empresa de que você foi alvo de um golpe. Abra o seu email e use a seguinte frase no assunto e no corpo da mensagem: "Perdido/Roubado: Por favor, desative minha conta". Inclua também o seu telefone no formato internacional: +55 (código do Brasil), o DDD de sua área e o número do celular. O endereço de destino é o support@whatsapp.com.

O último processo pode demorar alguns dias. A sua conta será desativada e você terá até 30 dias para reativá-la.

Outra recomendação importante dos especialistas é fazer um boletim de ocorrência. Somente assim, a polícia conseguirá iniciar as investigações e coletar dados sobre a frequência do golpe.

* Com reportagem de Bruna Souza Cruz e Helton Simões Gomes