Se você usa o WhatsApp, pode ser alvo de golpistas que desejam assumir o controle de sua conta, emparelhando o navegador ao seu número. Este esquema, apelidado de GhostPairing pelos pesquisadores, usa o processo de vinculação de dispositivos do WhatsApp para permitir que fraudadores acessem todas as suas mensagens, se façam passar por você em bate-papos e perpetuem o golpe para seus contatos. Veja como os agentes de ameaças estão sequestrando contas do WhatsApp – e como defender a sua.
GhostPairing manipula vinculação de dispositivos WhatsApp
O WhatsApp permite que os usuários vinculem seu desktop ou navegador à sua conta sem a necessidade de inserir credenciais de login de duas maneiras: digitalizando um código QR e aprovando a sessão ou confirmando um código numérico de emparelhamento no aplicativo móvel. Embora o golpe GhostPairing pudesse teoricamente manipular os usuários em qualquer uma das abordagens, os pesquisadores descobriram que a última é muito mais comum.
A fraude começa com uma pequena mensagem enviada de um contato com um link que supostamente leva a uma foto do Facebook ou algum tipo de conteúdo do Facebook. Se você clicar, será direcionado para uma página de login falsificada do Facebook para inserir seu número de telefone – um fluxo de confirmação familiar para plataformas Meta. A próxima tela provavelmente mostrará um código numérico com instruções para inserir o código no WhatsApp para confirmar o login (novamente, isso pode parecer uma verificação familiar em duas etapas). Se você não estiver prestando atenção, talvez não perceba que isso não fez nada de sua parte, mas, em vez disso, registrou o navegador do invasor como um dispositivo vinculado à sua conta.
O perigo desse golpe é que tudo parecerá normal no seu dispositivo e na sua conta, já que os invasores não sequestraram suas credenciais para bloqueá-lo. No entanto, eles podem fazer tudo e qualquer coisa no WhatsApp que você puder, como ler bate-papos, receber mensagens, visualizar e baixar mídia, coletar informações de seus contatos e encaminhar o mesmo link de phishing. À medida que aprendem mais sobre você e as pessoas que você conhece, eles podem usar isso para golpes contínuos.
Como proteger sua conta do WhatsApp
Como sempre, tenha cuidado com links recebidos por meio de plataformas de mensagens, mesmo que pareçam inofensivos ou que você ache que conhece e pode confiar no remetente. Os atores de ameaças frequentemente usam mídias sociais e mensagens diretas para espalhar iscas de phishing. Se você clicar em um link no WhatsApp (ou em qualquer outra comunicação), leia todas as instruções com atenção antes de fornecer ou verificar qualquer informação para identificar fraudes.
O que você acha até agora?
Para proteger especificamente sua conta do WhatsApp, você pode configurar a verificação em duas etapas, que também impedirá que invasores adicionem ou alterem um endereço de e-mail conectado. Vá para Configurações > Conta > Verificação em duas etapas > Ativar ou Configurar PIN e adicione um endereço de e-mail quando solicitado. Você também pode verificar se há algum dispositivo suspeito emparelhado com sua conta em Configurações > Dispositivos vinculados e remova aqueles que você não reconhece ou usa regularmente.
Por fim, se você foi alvo desse golpe, avise seus contatos do WhatsApp, pois os agentes da ameaça podem espalhar o link malicioso, fazendo com que pareça que ele veio de você.
