Golpistas estão tentando clonar WhatsApp de vendedores da OLX

Criminosos estão tentando clonar o WhatsApp de vendedores da OLX, se passando por atendentes do marketplace para obter códigos de verificação do mensageiro a partir de números públicos presentes nos anúncios. Uma vez com o número validado no próprio celular, o golpe tenta atingir os contatos da vítima, com pedidos de transferência de dinheiro para necessidades urgentes.

A dinâmica é direcionada, mas pouco arrojada. Ao telefone, o golpista se faz passar por um funcionário da OLX e começa a confirmar dados do anúncio feito pelo usuário, citando informações como preço, localização geográfica e outras condições do produto, o que ajuda a dar aparência de legitimidade ao contato. Enquanto conduz toda a conversa, ele tenta validar o número do WhatsApp da vítima em potencial em outro aparelho, o que envia um código de verificação para o celular da pessoa.

É aí que o golpe entra em ação, com o falso atendente solicitando que o código seja fornecido para confirmar o anúncio e validar o atendimento. Como o alerta vem durante a chamada e a pessoa está distraída ao telefone, ouvindo inclusive que seu anúncio pode ser retirado do ar caso não haja a confirmação, ela pode acabar passando o código sem perceber.

O golpe não é necessariamente novo, mas o fato de agora ser aplicado via ligação telefônica confere um novo formato a ele. Em maio de 2019, a Kaspersky Lab, especialista em segurança da informação, já havia emitido alerta sobre golpes semelhantes envolvendo marketplaces como a OLX e sempre focados no roubo de contas no WhatsApp. Entretanto, na ocasião o pedido pelo número de confirmação do WhatsApp chegava por SMS, método usado para conduzir todo o golpe. O contato também acompanhava a mesma pressão de agora, com citações a um grande número de reclamações sobre um anúncio e a possibilidade de ele ser retirado do ar caso o vendedor não passe pelo processo de verificação.

Depois de tomarem conta do WhatsApp, os bandidos fazem pedidos de dinheiro a familiares e amigos próximos da vítima. Os valores variam, mas, de acordo com a Kaspersky, giram em torno dos R$ 2 mil, uma quantia considerada não grande o suficiente para levantar suspeitas nem pequena demais para que o trabalho dos golpistas não valha a pena. Os ataques são feitos em massa, já que há pouco tempo até que o usuário perceba ter sido clonado e tome atitudes para recuperar sua conta.

Ao Canaltech, Fábio Assolini, analista sênior de segurança da Kaspersky Lab, explica que o golpe atinge não apenas os usuários da OLX, mas também de outros marketplaces como Zap Imóveis e Webmotors. E como se trata de um ataque envolvendo engenharia social, mesmo usuários com conhecimento podem cair. “O esquema utiliza recursos legítimos e não envolve programas maliciosos para roubar a conta”, explica, citando que até mesmo amigos da comunidade de segurança acabaram sendo vítimas.

Por mais que os ataques aconteçam fora das plataformas, o especialista chama a atenção para medidas que podem ser tomadas por elas para proteger os usuários. “As empresas podem reavaliar o uso de autenticação de dois fatores via SMS e as informações que são expostas por padrão”, afirma. Apesar disso, ele pondera que não há uma solução milagrosa, mas que as plataformas podem criar soluções para trazer mais segurança aos envolvidos.

O que dizem as empresas

Além de prestarem atenção a chamadas e mensagens suspeitas, a recomendação é que os usuários ativem a autenticação em duas etapas do WhatsApp, que passa a exigir não apenas o código por SMS, mas também uma senha numérica na tela do próprio celular. “Mesmo que a vítima informe o número de verificação, isso já sai do contexto do anúncio e a pessoa pode perceber a fraude antes de ser tarde demais”, completa Assolini.

Em contato com o Canaltech, a OLX disse investir em tecnologia e orientações para trazer mais segurança a seus usuários. Guias com as melhores práticas de negociações, alertas e comunicados da própria plataforma servem como acessório a práticas como a exigência de login para acesso ao chat e iniciar uma conversa, bem como no acesso a números de celulares.

A empresa ainda afirmou estar trabalhando em novos métodos de verificação, como uma validação de números celulares para utilização do chat. “A OLX não solicita informações que permitam acesso à sua conta nem condiciona a publicação de seu anúncio ao envio de qualquer dado pessoal”, afirma, em comunicado. O marketplace também repete a indicação do especialista em segurança para que a verificação em duas etapas do WhatsApp seja ativada de forma a proteger os perfis.

Em resposta à reportagem, a assessoria do WhatsApp também encaminhou um comunicado em que indica as melhores práticas de segurança na utilização do app. Segundo o mensageiro, os usuários jamais devem passar códigos de verificação recebidos por SMS a terceiros, uma vez que essa é uma senha pessoal para acesso. Alertas sobre isso já são enviados a utilizadores do Android e em breve chegarão às novas instalações no iOS.

Além disso, o mensageiro também recomenda que, ao perceber problemas, os usuários informem amigos e familiares para que eles também não caiam no golpe. O WhatsApp lembra que a criptografia de ponta a ponta impede que golpistas tenham acesso às mensagens antigas de uma conta e recomenda a ativação da autenticação em duas etapas como camada extra de segurança.

Como proteger sua conta

Para ligar a verificação em duas etapas no WhatsApp, acesse o menu de Ajustes do mensageiro. Em “Conta”, acesse a opção “Confirmação em duas etapas” e toque em “Ativar”,

Após duas confirmações de código e a adição de um e-mail para recuperação, o recurso estará ativado e o PIN será exibido sempre que o WhatsApp for ativado em um novo aparelho. De tempos em tempos, você também pode ter de inserir o código no próprio celular, outra medida da empresa para impedir o mau uso caso o dispositivo caia em outras mãos que não a do próprio dono.