Macro do ícone do WhatsApp para iOS.

Como evitar que o seu WhatsApp seja clonado

Por
12/3/18, 10h38 6 min Comente

O WhatsApp é um aplicativo bastante democrático. É usado pela maioria dos brasileiros, dos mais humildes até à classe política. Por isso, chama a atenção a onda de golpes que políticos estão sofrendo. A boa notícia é que é possível mitigar esse problema.

Segundo o Caixa Zero, na semana passada, três paranaenses tiveram seus números clonados e usados para a aplicação de golpes: a vice-governadora Cida Borghetti (PP), o líder do governo na Assembleia Legislativa, Luiz Claudio Romanelli (PSB) e o também deputado estadual Evandro Araújo (PSC).  Desde 2016, de acordo com o Uol, pelo menos 20 congressistas também passaram por esse transtorno.

O golpe da clonagem do WhatsApp

Para saber como o golpe é aplicado, é preciso compreender o funcionamento do WhatsApp. Talvez você não se lembre, mas o cadastro no aplicativo é super simples; não pede um nome de usuário nem senha, apenas o número do telefone, que o WhatsApp verifica com um código enviado por mensagem SMS. O número é usado para se cadastrar e, numa eventual troca de aparelho, para recuperar a sua conta.

Em tese, é uma dinâmica bastante segura. A única maneira de burlá-la seria interceptando mensagens SMS ou tendo acesso a um chip com o número da vítima, duas coisas que não são triviais, porém possíveis.

Até onde se sabe, como revelou reportagem do Fantástico veiculada em fevereiro de 2017, esse tipo de golpe geralmente conta com a cumplicidade de funcionários mal intencionados das operadoras. Eles desativam o número do chip da vítima e o habilitam em um novo, que é cedido ao golpista. Dali, ele consegue acessar o WhatsApp da vítima e se passar por ela.

Embora o golpe seja comumente chamado “clonagem do WhatsApp”, na prática o que ocorre é uma substituição — afinal, não é possível que uma conta do WhatsApp permaneça ativa em dois celulares ao mesmo tempo. A vítima perde o sinal da operadora após seu chip ser desativado e, depois que o golpista ativa o WhatsApp no novo chip, também o acesso ao aplicativo. Aliás, atentar-se ao sinal da operadora é uma boa prática no dia a dia: se ele sumir e não voltar, o golpe pode estar em andamento.

Ao ganhar acesso ao WhatsApp da vítima, o golpista não tem muitas informações. Os contatos não estão vinculados à conta (eles derivam da agenda do celular) e conversas antigas não são restauradas (elas ficam guardadas no smartphone, e não na nuvem). Ele só receberá mensagens que tenham sido enviadas no ínterim da desativação do chip da vítima e ativação do novo. Outra coisa que vem são os grupos. É aí, como ocorreu no caso da vice-governadora do Paraná, que a maioria das tentativas de extorsão acontece.

A única maneira de o golpista ter acesso às conversas antigas do WhatsApp é violando, também, o backup na nuvem do smartphone da vítima. O WhatsApp oferece a opção de backup através do Google Drive (Android) e iCloud (iOS). Se as credenciais do Google ou da Apple forem comprometidas, então o WhatsApp é capaz de, durante o cadastro pelo golpista, restaurar esse backup.

Como se proteger?

Em fevereiro de 2017, o WhatsApp ganhou uma camada extra de segurança que mitiga esse tipo de golpe. Trata-se da verificação em duas etapas.

Telas da verificação em duas etapas do WhatsApp.
Telas da verificação em duas etapas do WhatsApp.

Ao ativá-la — em  configurações > conta > Verificação em duas etapas > Ativar —, o WhatsApp pede ao usuário para que digite um PIN (código, senha) de seis dígitos. Também é dada a opção de cadastrar um e-mail, que pode ser usado para relembrar o PIN caso ele seja esquecido.

Com a verificação em duas etapas ativada, sempre que você trocar de smartphone e tentar ativar o WhatsApp no novo aparelho, será preciso inserir o PIN. Na prática, o PIN funciona como uma senha, dificultando bastante a ação de quem estiver tentando obter acesso à sua conta no WhatsApp.

O PIN deixa de ser exigido após sete dias de inatividade no WhatsApp. É tempo suficiente para notar alguma anomalia, como a perda do sinal da operadora, e resolvê-la.

Não vá fazer como o ministro Carlos Marun (MDB-MS), que ficou seis meses sem acesso à sua conta no WhatsApp! É preciso agir rápido, porque a exigência do PIN tem prazo de validade. Após sete dias do último uso, a conta poderá ser ativada novamente sem o PIN. Nesse caso, porém, mensagens recebidas no intervalo desde o último uso do aplicativo não serão entregues. Após 30 dias, uma nova conta será criada, o que significa que os grupos serão excluídos.

Caso o usuário se esqueça do PIN, ele tem a opção de pedi-lo por e-mail, o que significa que o mesmo cuidado deve ser tomado com a sua caixa de entrada.

Periodicamente, o WhatsApp pede ao usuário para que insira o PIN. Segundo a empresa, isso é feito para “ajudar a lembrar do seu PIN”.

Verificação em duas etapas em todo lugar

Em segurança digital, a verificação em duas etapas envolve, como o nome indica, dois dados: um que você tem e outro que você sabe. Em geral, se trabalha com uma senha (que você sabe) e um token (que você tem), como aqueles chaveiros com números aleatórios que alguns bancos oferecem aos correntistas.

O WhatsApp simplesmente inverte essas opções: por padrão, ele atua com algo que o usuário tem (o número do telefone). Ao ativar a verificação em duas etapas, o WhatsApp passa a exigir algo que você sabe (o PIN/senha).

A verificação em duas etapas está disponível em vários serviços — de e-mail, de redes sociais, de armazenamento na nuvem, até nas contas atreladas ao Android e ao iOS — e, além do SMS, que é considerado bastante inseguro, na maioria dos casos funciona com apps de terceiros, como o Google Authenticator e o Authy (a indicação do Manual do Usuário). A configuração inicial é um pouco trabalhosa, mas o ganho em proteção vale o esforço. O Tecnoblog tem um bom material ensinando como ativá-la em diversos serviços populares.

Foto do topo: Marcelo Andrade/Gazeta do Povo.

Compartilhe: