Há uma nova forma de roubar as contas do WhatsApp. Segundo a agência israelita responsável pela cibersegurança, os ataques podem ser realizados sem qualquer interação com as vítimas ou sem estas sequer terem conhecimento que estão a ser afetadas. Para tal, os hackers apenas necessitam dos seus números de telefone.

Segundo o documento da especialista de segurança Sophos, os cibercriminosos aproveitam-se da tendência dos utilizadores nunca mudarem as credenciais fornecidas, por defeito, pelas operadoras de acesso ao correio de voz, associado aos seus números telefónicos. Nesse sentido, os hackers fazem um pedido para registar o número de telefone das vítimas na aplicação do WhatsApp. Para verificar a legitimidade do utilizador, a App envia um código de verificação de seis dígitos através de um SMS para o telefone da vítima.

Segundo explica a especialista, num cenário normal, as vítimas iriam ver a mensagem e ficarem em alerta de que estariam a receber uma notificação de algo não pedido. No entanto, os hackers fazem o ataque de noite, durante a hora de dormir ou em outras situações em que o telefone está em modo “não incomodar”. Apesar do hacker não ter acesso ao código escrito enviado pela rede social, executa uma chamada automática para o respetivo número com uma mensagem a ler os respetivos dígitos enviados. Ao não aceitar a chamada, esta fica registada no correio de voz.

Com a mensagem guardada no voicemail, a fase seguinte dos hackers é explorar uma falha de segurança de muitas operadoras de telecomunicações. Utilizando os números fornecidos aos seus clientes para que liguem e oiçam as suas mensagens gravadas, o único sistema de segurança é um código PIN de quatro dígitos. E é aqui que os utilizadores falham ao não mudarem a credencial de origem, que por defeito pode ser “0000” ou “1234”, por exemplo.

Depois de acederem ao código do WhatsApp, depositado no voicemail, os hackers completam a transferência da conta da rede social para os seus dispositivos. E para evitar que as vítimas voltem a reclamar as suas credenciais, os criminosos ainda podem ativar a autenticação de dois fatores.

Para evitar que seja vítima de ataques semelhantes, os especialistas sugerem a ativação da autenticação de dois fatores, nas definições da aplicação.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.