Quando o telemóvel de António Serrano, um homem de 27 anos, vibrou com uma notificação do WhatsApp, ele não estranhou. Deslizou o dedo, abriu a aplicação e viu que tinha uma mensagem de uma amiga. O texto era simples: “Oi”. António perguntou-lhe como estava, mas ela respondeu logo com poucos segundos de diferença: “Desculpa, enviei-te um código SMS de seis dígitos por engano, podes enviá-lo para mim?”.
Oiça aqui o testemunho de António Serrano, uma das pessoas que foi apanhada nesta burla.
Era uma pessoa da confiança de António Serrano e, por isso mesmo, não teve dúvidas quanto à natureza do pedido: copiou o código que tinha recebido por mensagem noutra aplicação e enviou-o a essa amiga. “Respondi, naturalmente”, conta ao Observador. O efeito daquele ato foi instantâneo: ficou sem a conta de WhatsApp. Porquê? Porque se trata de um esquema usado por piratas informáticos. Se tiver recebido (ou vier a receber) uma mensagem de um contacto no WhatsApp a pedir-lhe que ceda um código de seis dígitos, não o faça.
António Serrano é piloto de profissão e está habituado a conviver com a tecnologia. Nasceu na década de 1990 e conhece o mundo digital em que vivemos. Quando recebeu aquele pedido, forneceu o código à amiga. O problema é que não era ela que estava do outro lado do ecrã. A conta dessa pessoa também já tinha sido roubada por hackers e estava a ser usada indevidamente.
Algumas horas depois, António Serrano conseguiu recuperar o acesso ao seu WhatsApp.
Tive de mandar um email para o WhatsApp Support [apoio ao cliente da app] para desativar a minha conta. Utilizaram-na para enviar esta mensagem a imensa gente e quando voltei a abrir a aplicação, todas as conversas tinham sido apagadas”, relata António Serrano ao Observador.
O que está em causa nesta troca de mensagens é um esquema em cadeia, uma burla. As vítimas fornecem um código que desagrega a conta do WhatsApp do dispositivo original. O atacante usa depois a identidade e o número da vítima sem esta saber. Ou seja, a pessoa fica sem acesso a esta rede social, mas o pirata informático usa a identidade da pessoa que foi enganada. Dessa forma, facilita a envolvência de mais vítimas. O hacker entra na rede de confiança das pessoas, porque está disfarçado — quem recebe as mensagens não sabe que se trata de um ataque.
“É um crime relativamente simples“, explica ao Observador Rui Duro, responsável máximo em Portugal da Check Point, uma empresa especializada em cibersegurança. O objetivo final é ter um utilizador e uma palavra-passe, que depois são utilizados para muitos fins, conta. No WhatsApp as conversas são encriptadas, o que significa que quando o hacker rouba a conta, não tem acesso às conversas, dados ou ficheiros da vítima.
“É uma forma de os piratas informáticos comunicarem sem deixar rasto”, explica o especialista em cibersegurança.
Rui Duro revela que estes cibercriminosos procuram um canal de comunicação “limpo”, que não levante suspeitas nem seja rastreável. “No fundo, quando somos apanhados nesses esquemas somos mulas, somos o meio para atingir um fim. Somos um veículo de cibercrimes”, diz, acrescentando que a pandemia veio aumentar exponencialmente este tipo de criminalidade e que a tendência é que cada vez aconteça mais.
António Serrano não é caso único. Na última semana, chegaram mais mensagens destas à redação do Observador. No Twitter, também se encontram várias queixas de utilizadores a quem tentaram roubar a conta, em vários pontos do globo, e o assunto tem sido notícia em vários meios.
O Observador também contactou a Unidade Nacional de Combate ao Cibercrime da Polícia Judiciária para saber se tem recebido queixas sobre este tipo de esquemas, mas sem sucesso.
ALERTA: Ontem TENTARAM (não conseguiram) pegar minha conta de WhatsApp, no esquema de pedir código de autorização.
O esquema é bem bolado, se liga. Uma pessoa me ligou falando que é do SUS e fazendo um levantamento da COVID-19.
Perguntas bobas, sem pedir informações pessoas +
— Wagner Wakka (@wakkalves) March 12, 2021
Estos seis dígitos son el código de identificación de WhatsApp. Los ciberdelincuentes piden a la víctima que marque un código de seis números para hacerse con el control de la cuenta y suplantar su identidad o chantajearle.
— Javier Rivas Ramos (@JavierRivasR33) April 25, 2021
Eu não acredito que agora existe uma nova burla para andar a roubar contas de whatsapp
— Tiago (@tiago_machado43) April 24, 2021
Como é que os utilizadores podem defender-se destes esquemas? “O primeiro passo é assumir que nada é de borla”, defende o especialista em cibersegurança. Rui Duro explica que quando estamos na Internet “temos de ser desconfiados”. O saber estar online é como saber estar na vida real.
“Sei que não posso ir para certas zonas sozinho à noite, na internet é igual”, explica Rui Duro.
O ideal, diz o responsável máximo da Check Point em Portugal, seria todos os internautas terem uma formação. Em relação ao WhatsApp, o princípio é este: nunca se deve dar este código a ninguém. Mas há uma forma de não ser apanhado neste tipo de burlas: dupla autenticação. Ao escolher um código, sempre que alguém conseguir saber o pin de seis dígitos enviados por SMS, vai precisar de digitar um segundo código escolhido por si. Assim, torna-se impossível ao cibercriminoso roubar a conta, porque não saberá o código.
É um método simples e eficaz, basta ir à aplicação > Definições > Conta > Confirmação em dois passos e definir um código (pessoal e intransmissível) de seis dígitos.
