Topo

Novo golpe une invasão do Facebook e pedido de dinheiro no WhatsApp

Tudo começa com senha roubada da rede social e cópia de agenda - Getty Images/iStockphoto
Tudo começa com senha roubada da rede social e cópia de agenda Imagem: Getty Images/iStockphoto

Janaina Garcia

Colaboração para o UOL

23/07/2019 04h00

Resumo da notícia

  • Roubo de senhas do Facebook pode dar acesso a agenda de contatos do WhatsApp
  • Conhecendo dados pessoais, hackers conversam com contatos e elaboram golpes
  • Especialistas sugerem cuidado com senhas, wi-fi gratuito e recomendam autenticação em dois fatores sem SMS

Imagine saber por seus amigos que você está vendendo lingeries, que planeja uma suposta viagem para o Peru ou que pediu um empréstimo de R$ 4 mil, mas nada disso é verdade. Há uma semana isso tem sido a vida da jornalista Lúcia Helena de Oliveira, que teve seu perfil no Facebook invadido por um cibercriminoso. A partir daí, ele tentou obter vantagens financeiras se passando pela vítima e conversando com seus contatos.

No caso da jornalista, atualmente blogueira em VivaBem, no UOL, o acesso do cibercriminoso a seus perfis no Messenger e no Facebook foi descoberto semana passada, depois que uma amiga desconfiou de um pedido de depósito de R$ 4 mil que Lúcia teria feito para quitar uma dívida trabalhista.

O criminoso puxou assunto com ela no WhatsApp fazendo referências a conversas nossas, muito recentes, no Facebook - tanto no Messenger quanto em grupos fechados. Até dizer que estava, como se fosse eu, 'desesperada por causa de uma ação trabalhista', daí a explicação para o tal depósito
Lúcia Helena de Oliveira

No WhatsApp, a pessoa utilizou uma foto do perfil de Lucia no Facebook e seu nome, mas o número de contato era diferente. Como imagem e nome batiam, os amigos não estranharam.

O criminoso também forjou a história de uma viagem para Machu Picchu e a do lote de lingeries. A amiga que recebeu o pedido de depósito desconfiou quando leu duas vezes o erro de português "preciçando" (em vez de "precisando") e ligou para se certificar se falava, de fato, com a jornalista.

Lúcia conta que tentou diversas vezes trocar a senha no Facebook, mas o aplicativo não reconhecia mais a senha inicial. "Escrevi para um amigo e ele não me respondeu. Aí vem aquela neura: será que escreveram algo para ele se passando por mim? É uma sensação muito esquisita; uma insegurança muito grande", lamenta.

Como o golpe ocorreu?

Para o analista-sênior de segurança digital da Kaspersky, Fabio Assolini, o mais provável é que o criminoso tenha obtido a senha de Lúcia pelo vazamento da senha em algum "dataleak" --nome dado a bancos de dados contendo logins e senhas de muitos usuários de emails e redes sociais, e que são compartilhados clandestinamente pela web.

De posse da senha da vítima para invadir seu Facebook e também seu perfil no Messenger --já que ambos compartilham a mesma plataforma-- o invasor deve ter trocado a senha original de Lúcia logo após o primeiro acesso.

"Parece que ele fez uma cópia usando o nome, a foto e outro número, e os contatos ele provavelmente conseguiu no Messenger para puxar conversa e saber com quem a vítima conversava, para, então, fazer o ataque de engenharia social [se passando pela vítima] e pedir o dinheiro", diz Assolini.

E como o hacker teve acesso aos números de telefone da vítima? Atualmente, o Facebook dá ao usuário a opção de acrescentar o número de telefone celular ao seu perfil. A rede social não tem uma ferramenta simples para exportar os números de celular de seus contatos para o WhatsApp, mas isso pode ser contornado pelos criminosos.

Por exemplo, o UOL mostrou que uma extensão para o navegador Google Chrome chamada "Toolkit for FB" permite ao usuário realizar uma série de comandos automatizados no Facebook, e um deles permite até mesmo extrair os números de celular dos amigos do usuário dentro na rede social. Isso só acontece com quem disponibiliza esse dado no campo específico de seu perfil, mas que fica restrito ao dono do perfil e seus amigos.

Página de perfil do Facebook permite adicionar número de telefone celular - Reprodução
Página de perfil do Facebook permite adicionar número de telefone celular
Imagem: Reprodução

No ano passado, o desenvolvedor de software Dylan McKay descobriu que o Facebook era capaz de registrar o histórico de ligações telefônicas do celular do usuário. Basta o dono do perfil fazer o download desse histórico com uma ferramenta do próprio Facebook --já ensinamos no UOL como fazer isso. Ao que parece, o registro de histórico ocorre quando o usuário permite que o app do Facebook ou do Messenger se integre ao telefone e SMS do celular.

Já de posse do Facebook da vítima, o hacker pode usar alguma dessas formas para obter parte dos contatos da vítima e adicioná-los à agenda do seu próprio celular. O WhatsApp já automaticamente lista esses números como usuários do mensageiro. O passo seguinte é fingir ser a vítima com um número novo, trocando a foto e o nome, e abordar essas pessoas para pedir dinheiro.

Outra possibilidade para obter os telefones dos contatos é sugerida pelo especialista em segurança da ESET, Daniel Barbosa: "Os atacantes podem acessar as conversas de Messenger da vítima, pesquisar o histórico delas e coletar informações", diz. Por exemplo, quando o amigo comunica o novo número de celular a você.

Ataques desse tipo estão se tornando comuns, diz Assolini, porque as operadoras estão apertando o cerco ao SIM Swap, golpe que transfere a linha telefônica para um chip SIM diferente do que está no telefone da vítima. O objetivo é "sequestrar" o WhatsApp de terceiros para se passar por eles e extorquir contatos. O Swap permite controlar a conta do app porque o login de usuário é o número de telefone, e o PIN (sequência de seis números) para entrar na conta é enviado via SMS.

"As operadoras estão melhorando a autenticação para a portabilidade de um número para outro SIM Card. Com isso, os criminosos estão buscando outros métodos envolvendo engenharia social", alerta Assolini.

Como evitar este tipo de ataque?

Para prevenir esses casos, os especialistas em segurança digital Fabio Assolini (Kaspersky), Daniel Barbosa (ESET), Nikolaos Chrysaidos (Avast) e Marcio Teixeira (desenvolvedor de software) listaram as seguintes dicas que envolvem proteção da autenticação (login e senha):

  • Não clique em links recebidos por email, SMS e WhatsApp, pois estes podem direcionar para páginas criadas pelos cibercriminosos para roubar as informações da vítima. Também desconfie de promoções utilizando nome de marcas, e cheque no site oficial destas a veracidade das informações
  • Senhas fracas ou óbvias --como o próprio nome do usuário, data de nascimento ou palavras simples em português-- são um presa fácil para hackers conseguirem descobri-las. E tente não repetir senhas em várias plataformas. Se o hacker teve acesso à senha de um serviço web usado por você há anos, vai tentar repeti-la em serviços mais importantes, como seu Facebook
  • Redes de wi-fi abertas e/ou gratuitas requerem atenção redobrada, pois são uma porta para o hacker levar o usuário, por exemplo, a uma página-clone do Facebook capaz de capturar logins e senhas de usuários no processo de (falsa) autenticação
  • Recomendada pelo próprio Facebook, a autenticação em dois fatores é mais segura se não usar o SMS como meio de obter o acesso. Um SIM Swap, por exemplo, permitiria ao hacker clonar a conta telefônica e receber ele mesmo o código. Em vez disso, é melhor uma solução de autenticação física de dois fatores ou um aplicativo como o Google Authenticator

Se você for vítima de um ataque desses, a orientação dos especialistas é notificar a plataforma da perda de acesso. No caso do Facebook, isto pode ser feito por este link. Também vale trocar todas as senhas de seus emails e demais redes sociais imediatamente.

Segurança "é prioridade", diz Facebook

Contatada sobre o caso da jornalista, o Facebook respondeu, em nota, que a segurança de sua comunidade de usuários "é prioridade", o que motivou a criação da autenticação de dois fatores para efetuar o login.

A nota da empresa recomendou que as pessoas ativem o recurso, que no Facebook dá duas opções: o envio de um código aleatório de seis números por SMS ou por apps de tokens como o Google Authenticator. Mas como especialistas disseram acima, obter o código via SMS não é recomendado; prefira o segundo método.

Além das dicas de segurança dos analistas ouvidos pela reportagem, o Facebook também sugere as seguintes ações:

  • Verificação de segurança: Esta página permite reconhecer em quais dispositivos foram feitos logins, definir uma senha mais forte e receber alertas de login, que são notificações que informam, via Facebook, Messenger ou e-mail, quando houve novos acessos à conta
  • Contatos de confiança: Nesta página, selecione de três a cinco amigos com os quais você pode entrar em contato se precisar de ajuda para recuperar acesso à sua conta no Facebook, caso você esqueça a sua senha do Facebook ou não consiga redefini-la pelo email
  • Desfazer a amizade e bloquear: Caso esteja sendo assediado por estranhos no WhatsApp, basta tocar na guia "Amigos" do seu perfil. Aparecerá sua lista de contatos; selecione, no contato em questão, "Desfazer amizade". Agora, para bloquear o contato e assim impedi-lo de ver seu perfil, busque e acesse o perfil dele, depois clique em Mais (botão com três pontos) e "Bloquear"

Mais Segurança