Topo

Instagram e WhatsApp de Rosângela Moro são invadidos; veja como se proteger

Rosângela Moro e Sergio Moro - Foto: - Pedro Ladeira- 14.fev.20/Folhapress
Rosângela Moro e Sergio Moro Imagem: Foto: - Pedro Ladeira- 14.fev.20/Folhapress

Gabriel Daros

De Tilt*, São Paulo

28/03/2022 16h58Atualizada em 28/03/2022 21h38

Na tarde de hoje (28), os perfis do Instagram e do WhatsApp da advogada tributarista Rosângela Wolff Moro foram alvos de uma invasão. A rede social, por exemplo, foi usada para replicar um golpe, divulgando móveis, eletrodomésticos e outros bens pessoais nos stories como se ela estivesse vendendo os produtos usados a preços convidativos.

A invasão foi confirmada pela assessoria de imprensa do esposo de Rosângela, o pré-candidato à Presidência da República Sergio Moro (Podemos). Ainda não há dimensão do impacto ou de quais informações os invasores conseguiram acesso no perfil da vítima.

No golpe, os cibercriminosos utilizaram a conta de Rosângela Moro para oferecer móveis usados de uma suposta amiga, a preços muito abaixo do mercado.

As publicações de vendas são falsas. Uma vez que alguém tenta comprar os produtos, a pessoa acaba negociando e enviando dinheiro diretamente aos golpistas por ali mesmo, sem receber os itens adquiridos na compra informal.

Produtos vendidos no perfil hackeado de Rosângela Moro - Reprodução/rosangelawmoro - Reprodução/rosangelawmoro
Produtos vendidos no perfil hackeado de Rosângela Moro
Imagem: Reprodução/rosangelawmoro

A engenharia do golpe

O golpe que afetou a advogada não é novo. Ao que tudo indica, ele é uma replicação da estratégia de roubo de contas do WhatsApp, que se expandiu para o Instagram.

No caso da rede social, a tática consiste em pegar perfis de usuários para fazer publicações de vendas se passando pelas vítimas. Portanto, quanto maior o número de seguidores, maiores as chances de arrecadar dinheiro.

A segunda fase do crime é induzir os interessados a realizar transações via Pix. E os produtos comprados, claro, nunca chegam.

A estratégia dos criminosos tem feito sucesso na rede social, pois se aproveita da reputação do perfil invadido para disseminar o golpe.

Segundo especialistas em segurança digital ouvidos por Tilt, uma das maneiras de aplicar esse golpe é através do SIM swap, uma tática onde o criminoso "clona" o número de um chip de celular.

Nesse método de ataque os criminosos nem precisam encostar no aparelho celular da vítima, é uma invasão "pelo ar", onde o roubo é feito de forma totalmente remota, e muitas vezes a vítima só fica sabendo algum tempo depois quando é avisada por amigos e conhecidos que viram as postagens das vendas nas redes sociais.

Em posse do número invadido, a pessoa consegue ter acesso a informações como mensagens, senhas e contas de redes sociais das vítimas.

Por exemplo:

  • Para configurar o Instagram da vítima em seu telefone/computador, o criminoso recorre a opção "redefinir senha".
  • Se a pessoa a vítima tiver configurado previamente a camada de segurança chamada "autenticação em dois fatores/duas etapas", um código de verificação será enviado nesse momento para o número de telefone cadastrado.
  • É nessa hora que o bandido consegue "clonar" a conta do Instagram. Fala-se popularmente em clonar um perfil, mas o termo mais correto é roubar.

O método, embora não seja tão novo assim, é frequentemente "reinventado" pelos criminosos — que miravam mais em roubar contas do WhatsApp para pedir dinheiro para amigos e familiares dos responsáveis pelo perfil.

A "clonagem" do chip de celular

Essa "clonagem" do número de um chip é um processo legítimo que as operadoras podem fazer, por exemplo, em caso de roubo ou extravio de aparelhos. Porém, bandidos estão se aproveitando indevidamente da situação.

"Um falsário liga para a operadora se passando pela vítima, e pede a ativação do número nesse novo chip, fornecendo todos os dados pessoais necessários para fazer esse processo", explica Martha Carbonell, presidente-executiva da Law 360, empresa que ajuda outras companhias a se enquadrarem na LGPD (Lei Geral de Proteção de Dados).

A operadora, sem imaginar que se trata de golpe (já que os dados necessários foram confirmados), realiza a ativação da conta no chip dos bandidos. Com isso, o invasor tem acesso a ligações, mensagens SMS e senhas da vítima — caso esteja salvas.

Para o especialista em cibersegurança Leandro Gouvêa, esse tipo de invasão ainda acontece devido às falhas nos sistemas do controle de dados das pessoas.

"Grande parte das empresas ainda tem falhas no sistema de manutenção dos dados cadastrais de clientes possibilitando o vazamento de dados, por exemplo. Além disso, na outra ponta do golpe, estão as operadoras que precisam adotar sistemas mais rigorosos no quesito a validação dos dados de seus usuários", afirma. "É um assunto que ainda precisa ser muito debatido.".

Protegendo os aplicativos

Todos podem adotar algumas medidas para dificultar a vida dos criminosos e aumentar a proteção.

A principal dica dos entrevistados é evitar quando for possível o uso de SMS ou ligação telefônica como método de recuperação de senha de aplicativos. Uma vez que o criminoso tem o seu número, ele certamente tentará reativar programas como WhatsApp e suas redes sociais.

"O ideal é que o usuário use aplicativos de tokens [senhas] de acesso, como Google Authenticator, Authy para proteger senhas e, consequentemente, contas", acrescenta Martha.

Fui vítima do golpe. E agora?

Caso você ou alguém conhecido tenha sido vítima e perdeu o acesso ao telefone cadastrado na conta do Instagram, siga o passo a passo destacado pela empresa na Central de Ajuda.

No link existem respostas para situações como:

  • Conta invadida
  • Conta publicando conteúdo não autorizado
  • Email da conta foi alterado
  • Vítima de phishing no Instagram (tipo de golpe que usa iscas para convencer pessoas)

Para a retirada do número do WhatsApp da posse dos criminosos, o serviço de ajuda do app recomenda que os usuários bloqueiem o chip, evitando que o app permaneça sob acesso indevido. Feito isso, envie um email para "support@support.whatsapp.com" com a frase "Perdido/roubado: desative a minha conta", junto ao número internacional.

Outros cuidados:

  • Evite postar dados pessoais nas redes sociais. Eles podem ser facilmente usados para enganar você e seus conhecidos.
  • Tenha atenção com códigos recebidos via SMS, quando não houver motivo para recebê-los.
  • Nunca compartilhe o código de ativação do WhatsApp e das redes sociais;
  • Desconfie de telefonemas em que alguém solicite seus dados pessoais e códigos enviados por SMS.

*Com informações de Lucas Carvalho, de Tilt, em São Paulo, e Simone Machado, em São José do Rio Preto, SP