Na última década, o WhatsApp deixou de ser um simples aplicativo de mensagens e se tornou uma ferramenta essencial na vida de praticamente todos os brasileiros. Segundo a pesquisa da Mobile Time, feita em parceria com a Opinion Box, o aplicativo está instalado em 99% dos smartphones em operação no Brasil. Essa onipresença, que conecta famílias, amigos e empresas via WhatsApp Business, também abre uma porta para crimes digitais.
O app teve tanta adesão em território brasileiro que é praticamente impossível nunca termos ouvido falar de parentes ou conhecidos que caíram em algum golpe na ferramenta. Um relatório da empresa de cibersegurança Kaspersky revelou que, em 2023, o país foi o principal alvo de ataques via dispositivos móveis América Latina, com uma média alarmante de mais de 700 tentativas de fraude por minuto. E o WhatsApp, por sua popularidade, se consagrou como o principal canal para aplicação desses golpes.
Neste artigo, vamos desvendar a tecnologia e a lógica envolvidas nos golpes mais comuns que circulam no seu WhatsApp. Ao entender o mecanismo por trás desses crimes cibernéticos, é possível transformar conhecimento em um escudo, protegendo suas informações e o seu dinheiro.
A anatomia por trás dos 3 principais golpes no WhatsApp
O primeiro passo para se proteger é saber como os criminosos operam. Os golpes mais comuns podem ser divididos em três grandes categorias, cada uma com sua própria lógica técnica.
1. O falso sequestro de conta ou Account Takeover
Popularmente chamado de clonagem, este é um dos golpes que mais causam dor de cabeça na vítima. Conhecido tecnicamente como Account Takeover, esse golpe permite que o criminoso assuma o controle total do seu perfil, se passando por você.
Primeiro, o golpista consegue seu número de telefone por meio de vazamentos de dados, grupos públicos dos quais você participa ou anúncios que você publicou em plataformas de venda online. Com o número em mãos, o criminoso instala o WhatsApp em um novo aparelho e tenta registrar sua conta. Automaticamente, o sistema oficial do WhatsApp envia um código de verificação de 6 dígitos via SMS para o seu celular (o verdadeiro dono da conta). E é neste momento que ele entra em contato com você — usando outra conta ou até por ligação — e cria uma história convincente para que você entregue o código que acabou de receber. Entre outras, as desculpas mais comuns para extrair esse código estão relacionadas à entrega de compras online, anúncios, sorteios e suporte técnico, sempre envolvendo a solicitação do código.
Assim que a vítima informa o código, o criminoso o digita no aparelho dedicado à clonagem e finaliza o registro. Imediatamente, você é desconectado(a) da sua conta, e o golpista assume o controle, passando a usar seu perfil para pedir dinheiro a amigos e familiares.
Para se proteger contra este golpe é importante ativar a verificação em duas etapas. É uma senha de 6 dígitos (PIN) que você mesmo(a) cria dentro das configurações de segurança do WhatsApp. Com ela ativada, mesmo que o criminoso consiga o código SMS, ele ainda precisará digitar este PIN secreto para acessar sua conta. É uma barreira quase intransponível para esse tipo de ataque.
2. Phishing: a pescaria de dados em águas digitais
Apesar de ser uma das ameaças mais antigas da internet, o Phishing continua sendo amplamente utilizado por criminosos digitais. O nome vem de "fishing" (pescaria, em inglês), pois o objetivo é literalmente "pescar" suas informações mais sensíveis.
Você recebe uma mensagem com uma promessa irrecusável: um grande desconto numa loja famosa, a chance de ganhar um prêmio valioso, uma vaga de emprego dos sonhos, um benefício social recém-liberado ou ingressos para um evento concorrido. A mensagem é criada para criar um senso de urgência como "últimas unidades!" ou "só hoje!" e sempre é acompanhada de um link aparentemente inofensivo.
Ao clicar nesse link, a vítima é direcionada para uma página de fachada que imita perfeitamente o visual do site legítimo (cores, logos, fontes, imagens etc.). Para tornar essa página ainda mais verídica, os criminosos usam uma técnica chamada URL Spoofing, criando endereços que parecem verdadeiros, como www.magazineluiza-ofertas.net em vez do oficial www.magazineluiza.com.br.
Na página falsa, um formulário solicita que você insira dados pessoais como nome completo, CPF, e, o mais perigoso: senhas e detalhes do cartão de crédito. Ao preencher e clicar em “Confirmar" ou "Cadastrar", todas essas informações são enviadas diretamente para um servidor controlado pelo fraudador.
O primeiro passo para evitar esse tipo de golpe é verificar se o link do domínio é oficial. Você pode fazer isso pressionando e segurando o link com o dedo. Uma pequena janela mostrará o endereço real para o qual você será levado. Se o link estiver com caracteres diferentes ou nomes incomuns, desconfie.
Sites seguros usam o protocolo https, com o "s" indicando que é seguro, e exibem um ícone de cadeado na barra de endereço. Páginas de phishing frequentemente usam apenas http e não costumam apresentar o ícone de cadeado. A regra de ouro aqui é: jamais clique em links aleatórios. Se a oferta parecer real, feche a mensagem, abra o navegador e digite você mesmo o endereço do site oficial para verificar se a promoção existe.
3. Malware e Spyware: o inimigo invisível
Enquanto o phishing engana você para que entregue seus dados, o malware (software malicioso) é um programa que se instala no seu celular para roubá-lo de forma silenciosa e contínua.
O malware vem disfarçado de algo inofensivo ou desejável. Pode ser, por exemplo, uma versão premium ou pro de um aplicativo popular, um novo pacote de figurinhas, um vídeo viral, um documento importante ou uma suposta atualização de segurança.
A vítima é induzida a baixar e instalar um arquivo de fora do Google Play Store ou da Apple App Store. No sistema Android, esses arquivos maliciosos têm a extensão .apk. Durante a instalação, o aplicativo malicioso solicita permissões absurdas, como acesso total aos seus contatos, SMS, microfone, câmera, localização e permissões de acessibilidade, que possibilitam ver e controlar tudo o que acontece na sua tela. Na pressa, muitos usuários concedem as permissões sem ler. Uma vez ativado, o malware pode:
- Gravar tudo o que você digita, incluindo senhas de aplicativos de banco.
- Criar telas falsas que se sobrepõem às telas de login de apps bancários para capturar suas credenciais.
- Monitorar suas conversas e ativar o microfone.
- Sequestrar seus arquivos e exigir resgate em criptomoedas.
A defesa aqui é baixar aplicativos exclusivamente das lojas oficiais (Play Store e App Store), além de manter a configuração do seu celular para bloquear instalações de fontes desconhecidas. Antes de baixar qualquer app, questione: "Por que um aplicativo de lanterna precisa de acesso aos meus contatos?". Se as permissões parecerem desnecessárias para a função do app, não instale.
Desconfiança é a palavra-chave
A tecnologia por trás dos golpes pode evoluir dia após dia, mas a base da proteção permanece a mesma: cautela, desconfiança e informação. Você não precisa ser um especialista em tecnologia para estar seguro. Precisa apenas entender a lógica dos criminosos para não cair em suas armadilhas. Além disso, é importante manter o sistema operacional e os aplicativos em dia, corrigindo falhas de segurança que poderiam ser exploradas por criminosos.
4 dicas rápidas de segurança digital:
- Ative a verificação em duas etapas dos seus principais apps, agora mesmo. É a barreira mais forte contra o sequestro de contas.
- Nunca, em hipótese alguma, compartilhe o código de 6 dígitos que o WhatsApp envia por SMS.
- Desconfie de ofertas, prêmios e pedidos de dinheiro inesperados, mesmo que venham de contatos conhecidos. Na dúvida, ligue para a pessoa para confirmar.
- Inspecione todos os links antes de clicar e só baixe aplicativos de lojas oficiais.
Se você conhece alguém que já sofreu algum golpe digital, seja por WhatsApp ou qualquer outro app/site, compartilhe este artigo! Cada pessoa informada é um alvo a menos para os golpistas e um passo a mais para um ambiente digital mais seguro para todos.
