O apelo de um amigo por ajuda financeira ou mensagens que oferecem brindes e sorteios são típicas iscas de golpes que ocorrem no WhatsApp. O número que entra em contato pode ser de fato de um conhecido, e os links enviados parecerem com os de uma empresa famosa. Mas, por meio dessas estratégias, golpistas roubam dados, invadem perfis e conseguem dinheiro de quem se dispôs a ajudar sem se dar conta de que estava sendo enganado.
Laboratório especializado em segurança digital da PSafe, o dfndr lab projeta que mais de 473 mil pessoas tenham sido vítimas de clonagem de WhatsApp no Brasil em setembro, número 25% maior em comparação ao mês anterior. Confira abaixo as dicas de segurança compiladas pelo Aos Fatos para te auxiliar a se prevenir contra golpes e te orientar como reagir se você já tiver caído em um deles.
1. Não clique em links de ofertas tentadoras
2. Não envie códigos recebidos por SMS a outra pessoa
3. Desconfie de números novos que se passam por amigos
4. Conheça golpes frequentes
1. Não clique em links de ofertas tentadoras
Mensagens que divulgam sorteios ou oferecem brindes como brinquedos, cestas básicas, panetones, entre outros, chegam por WhatsApp acompanhadas de links maliciosos. Muitas vezes, o endereço até se parece com o de uma empresa conhecida, mas direciona o usuário a uma página falsa. Essa fraude, conhecida como phishing, induz a pessoa a fornecer dados pessoais e financeiros ou a instalar códigos e aplicativos no celular ou no computador com o potencial de coletar informações do equipamento.
Mesmo que o usuário não forneça dados que levem diretamente a um prejuízo financeiro, como número de cartão de crédito, repassar informações como nome, telefone e nome dos pais já possibilita a fraude. Isso porque elas permitem que o estelionatário se passe pelo usuário em outro site e responda perguntas secretas para redefinir senhas, por exemplo.
Artur Pericles Lima Monteiro, advogado e coordenador da área de liberdade de expressão da Internetlab, explica que "esses dados também podem ser usados para que alguém se passe por você para contatos seus, por exemplo, para fingir que você está sem acesso a sua conta bancária e precisa de dinheiro urgente".
Prevenção. Não clique no link recebido mesmo que o endereço seja muito semelhante a um verdadeiro e que tenha sido enviado por algum conhecido, pois o remetente também pode ter sido enganado. Acesse as contas da empresa citada nas redes sociais para verificar se há informações sobre a propaganda recebida e confirmar o endereço verdadeiro de seu site. Uma maneira de saber se os perfis consultados no Facebook, no Twitter e no Instagram são oficiais é observar se eles têm selos de autenticidade (veja abaixo).
É possível consultar também serviços de segurança digital que auxiliam na verificação de um link suspeito. A ferramenta do dfndr Lab diz se um endereço é potencialmente perigoso. O Vírus Total consegue mostrar quais são os seus componentes de risco. Para pesquisar, basta digitar ou colar o endereço suspeito na área de busca das páginas.
É recomendável, ainda, que computadores e celulares sejam mantidos atualizados e que sejam usados programas antimalware, firewall pessoal e filtros antiphishing ⏤ muitos deles têm versões gratuitas e disponíveis para celulares.
Já sou uma vítima. Se você se der conta de que clicou em um link malicioso ou que repassou informações pessoais a sites não seguros, há providências que devem ser tomadas imediatamente. Quando o caso envolve o fornecimento de senha, por exemplo, é importante trocá-la o quanto antes.
Execute mecanismos de proteção, como antivírus, e se tiver passado dados bancários, entre em contato com a operadora do cartão de crédito ou o banco para cancelá-lo e suspender possíveis transações.
Caso as informações enviadas permitam que outra pessoa se passe por você, "avise os seus contatos, especialmente os mais próximos e que poderiam se sensibilizar e acabar dando dinheiro [se alguém pedir auxílio financeiro como se fosse você]”, orienta Miriam von Zuben, analista sênior de segurança do CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), do NIC.br (Núcleo de Informação e Coordenação do .br).
Os casos de fraudes também podem ser comunicados à polícia por meio de registro de BO (boletim de ocorrência). Monteiro lembra que é importante reunir informações que possam ajudar na investigação, por exemplo, capturas de tela (prints) de conversas, posts, sites, e-mails. Se for possível, procure uma delegacia especializada em crime digital.
2. Não envie códigos recebidos por SMS a outra pessoa
O golpe que rouba a conta de WhatsApp começa quando o usuário compartilha com o estelionatário um código numérico recebido por SMS. Esse é o código que o aplicativo envia para confirmar o seu celular quando você o instala em um aparelho. Com esse número em mãos, o golpista instala a sua conta em outro telefone e passa a falar com seus amigos e familiares para pedir dinheiro.
Diversas estratégias são usadas para te pedir esse dado. Já tendo invadido a conta de um dos seus contatos, por exemplo, o golpista pode se passar por seu conhecido, dizer que enviou um código por engano e pedir que o repasse. Em outros casos, ele se passa por funcionário de uma empresa que te liga ou te escreve oferecendo algum produto e pede que você envie o código recebido para confirmar seu interesse em determinada promoção ou serviço. Fique atento a esse tipo de mensagem.
Prevenção. Nunca compartilhe códigos recebidos por SMS com outra pessoa, mesmo que seja conhecida. Ative a configuração de verificação em duas etapas para o acesso a sua conta. Com esse recurso, o golpista precisará de uma segunda confirmação enviada por SMS para acessá-la em outro aparelho ou, se ele tentar redefinir o seu PIN, precisará acessar o link que o WhatsApp envia para o e-mail cadastrado.
Para cadastrar essa opção, clique nos três pontinhos no canto superior direito e acesse Configurações > Conta > Confirmação em duas etapas. Veja no vídeo abaixo o passo a passo do processo.
Evite usar datas de aniversário de parentes ou sequências numéricas simples (1, 2, 3, 4, 5, 6) como PIN.
Outra recomendação é solicitar que seu número de telefone seja retirado das listas de IDs de aplicativos que identificam chamadas. Por meio desses mecanismos, os golpistas encontram o nome associado ao telefone, o que facilita tentativas de golpe.
Já sou uma vítima. Avise a seus amigos que sua conta foi roubada e que alguém pode estar se passando por você no WhatsApp. Se o golpista já tiver instalado a sua conta em outro aparelho, você estará sem acesso a ela, porque o aplicativo não possibilita que seja usado em dois celulares ao mesmo tempo. Por isso, ligue para pessoas mais próximas e que se sensibilizariam com pedidos de empréstimos, como familiares, ou use suas redes sociais para alertá-las.
Desinstale e instale novamente o WhatsApp com seu número de telefone e confirme-o com o código de seis dígitos que você receberá por SMS. Desta maneira, assim como você foi desconectado quando o golpista instalou sua conta, ele será desconectado automaticamente.
No entanto, se ele já tiver ativado a confirmação em duas etapas como se fosse você, será necessário enviar um e-mail para support@whatsapp.com relatando o caso e pedindo a desativação temporária da conta, como recomenda o Procon-SP. Depois disso, é preciso aguardar sete dias para conseguir acessar a conta novamente sem o código de confirmação em duas etapas. Passado esse prazo, segundo o WhatsApp, “a pessoa que estava usando sua conta será desconectada quando você inserir o código de seis dígitos recebido por SMS”.
Por fim, o roubo de conta também deve ser registrado em BO. Segundo Monteiro, o boletim é útil até mesmo para mostrar para terceiros que foram prejudicados que as mensagens disparadas não foram enviadas por você.
3. Desconfie de números novos que se passam por amigos
Um golpe menos sofisticado que também pode gerar vítimas desavisadas é quando simplesmente criam uma conta nova com a foto e o nome de um conhecido. Portanto, se receber uma mensagem de um amigo avisando que mudou de telefone e, pouco depois, ele te pedir empréstimo ou ajuda para pagar boleto, desconfie.
Prevenção. Para confirmar se a pessoa que te escreve é de fato o seu amigo, peça para conversar com ele em vídeo. Se não for possível, entre em contato, seja por telefone (pelo número antigo), por mensagem de WhatsApp ou redes sociais. Essa também é uma forma de alertar seu amigo de que alguém está se passando por ele.
Como basta um telefone, seu nome e sua foto para aplicar esse golpe, recomenda-se que não exponha sua imagem para desconhecidos. Para isso, altere as configurações de privacidade do aplicativo para que sua foto seja mostrada apenas para seus contatos. Basta acessar Configurações > Conta > Privacidade > Foto do perfil.
Também vale descadastrar seu telefone de listas de aplicativos que identificam chamadas.
Já sou uma vítima. Neste caso, também é necessário avisar os contatos que existe alguém se passando por você e pedindo ajuda falsa. Além disso, registrar um BO é útil para comprovar que não foi você quem causou eventuais danos a terceiros.
Abaixo, listamos alguns exemplos de golpes recorrentes para que você possa reconhecê-los facilmente.
Natal premiado Brahma. A mensagem divulga o sorteio de uma chopeira e recomenda o acesso a um link. A Ambev, responsável pela Brahma, nega que a promoção exista.
Vale Gás Natalino. Afirma que pagamentos de um vale gás estão liberados por prefeituras ou governo e orienta o acesso a um site com final “-gov.br” (sites de órgãos federais terminam com “.gov.br”, com ponto, não traço). O link foi considerado potencialmente perigoso pelas ferramentas indicadas pelo Aos Fatos.
Abono emergencial de Natal. O golpe pede que a pessoa preencha um formulário com nome e CPF em um site parecido ao de um aplicativo de banco. Também é solicitado que a vítima clique para provar que não é um “robô”. Nesse momento, um serviço de telefonia é contratado sem a pessoa saber.
Natal Solidário. A campanha falsa incentiva a realização de um cadastro para a pessoa ganhar uma suposta cesta de Natal.
Ceia grátis da Sadia. A propaganda enganosa também estimula o preenchimento de um formulário. O site, no entanto, é falso e possui domínio russo.
Panetones da Bauducco grátis. Promete sorteio de panetones a quem responder algumas perguntas, reenviar a mensagem a contatos e permitir notificações Também redireciona para páginas falsas.
Kit de máscaras da Turma da Mônica. A Turma da Mônica lançou máscaras personalizadas para vender durante a pandemia de Covid-19, mas não tem distribuído kits gratuitamente em troca de cadastros. A marca desmentiu a propaganda em suas redes sociais.
Cestas básicas da Havan. A mensagem diz que a Havan abriu inscrições para distribuição de cestas, mas o link não consta na página de ações sociais da rede de lojas e foi considerado potencialmente perigoso.
Governo federal doa cesta básica. O golpe começou a circular com a pandemia e foi checado pelo UOL. À época, o Ministério da Cidadania disse que as divulgações oficiais da pasta são feitas pelo site www.cidadania.gov.br. Por fim, a ferramenta Vírus Total identificou “phishing” no link presente na mensagem enganosa.
Chope grátis da Heineken. A promessa é entregar quatro barris de cerveja grátis durante a quarentena para quem preencher o formulário do link indicado na mensagem. O site também foi identificado como “phishing” pelas ferramentas de verificação.
20 GB de dados móveis grátis. A propaganda diz que a Vivo daria durante a quarentena 20 GB de dados móveis para os clientes, mas o link compartilhado é falso.
Convite VIP. Trata-se de um golpe para clonar contas do WhatsApp. O golpista oferece ingresso VIP para festa ou show. Para receber o suposto brinde, a vítima precisa enviar um código que recebeu por SMS. O número é o código de verificação do WhatsApp e com ele o golpista invade a conta.
Ovos de Páscoa grátis. Neste ano, o Aos Fatos verificou que mensagens que diziam que a Nestlé e a Cacau Show iriam distribuir ovos de chocolate eram falsas e continham links nocivos com foco em roubar informações.
O Boticário Dia das Mães. Pede que a pessoa entre no link indicado para seguir um passo a passo e ganhar um conjunto de perfume e cremes. Além de não ser o site oficial da marca, o link foi considerado potencialmente perigoso.