Pessoas que anunciam produtos em plataformas como OLX, WebMotors, ZapImóveis e Mercado Livre são alvos de um novo golpe de clonagem de conta no WhatsApp. Segundo a Kaspersky, os alvos recebem mensagens no número disponibilizado nessas plataformas sobre um “problema com o anúncio”: não passa de um pano de fundo para um golpe de phishing.
Segundo a Kaspersky Lab, o esquema é bem simples: os cibercriminosos monitoram as plataformas de venda pela internet para mirar usuários que criaram um anúncio de venda. Com as informações do anúncio, os fraudadores enviam uma mensagem no WhatsApp para a pessoa se passando pela plataforma de vendas dizendo: “verificamos um anúncio recém postado, e gostaríamos de atualizar para que continue disponível para visualização” ou “devido ao grande número de reclamações referente ao seu número de contato, estamos verificando”. As mensagens terminam pedindo para a vítima informar o código que receberá via SMS para solucionar a questão.
De acordo com o analista da Kaspersky Fabio Assolini o problema acontece quando a vítima responde essa mensagem recebida no Zap. “Quando a vítima responde à mensagem, o fraudador começa o processo de ativar o WhatsApp em um novo celular e o suposto código de verificação é, na verdade, o código de ativação da conta. Se ela não prestar atenção, acaba passando o número e tem seu WhatsApp roubado em minutos. A empresa anunciou esta semana novas medidas de segurança”.
E, logo após o recebimento dos dígitos na mensagem SMS da vítima, o restante do golpe é bem similar aos outros envolvendo o WhatsApp: os cibercriminosos enviam mensagens para os contatos mais recentes, que normalmente são amigos próximos ou familiares da vítima, pedindo um empréstimo para uma despesa urgente. Se a pessoa tenta ajudar prontamente, o criminoso só precisa perguntar “qual o banco mais fácil para você” e depois enviar uma conta bancária de um laranja. Até o proprietário recuperar o acesso ao WhatsApp, o criminoso já teve tempo suficiente para falar com diversas pessoas.
O analista Assolini complementa: “Além de ter atenção, só há uma maneira de evitar este esquema com tecnologia: a dupla autenticação do WhatsApp. É uma senha que o usuário cria e é solicitada de vez em quando pelo app. Mesmo que a vítima informe o código de ativação, o criminoso terá de pedir a senha da dupla autenticação – isto já sai do contexto do anúncio e a pessoa pode perceber a fraude antes de ser tarde demais”.
