O alerta foi dado pelos investigadores de cibersegurança Luis Márquez Carpintero e Ernesto Canales Pereña do nosso país vizinho, expondo um novo perigo à espreita no WhatsApp. É uma péssima surpresa para os seus mais de dois mil milhões de utilizadores.
Usando apenas o número de telefone da futura vítima, o hacker pode facilmente desativar o WhatsApp no telefone visado e impedir que o legítimo proprietário recupere o acesso à conta. Nem mesmo a autenticação de dois fatores pode impedir este vetor de ataque.
Qualquer conta de WhatsApp pode ser vulnerável a este ataque
Em declarações à Forbes, os investigadores dão conta da relativa simplicidade com que é possível impedir alguém de aceder e recuperar o acesso ao que é seu. O processo, de acordo com as suas investigações, pode demorar apenas cinco minutos.
A ocorrência deve-se a uma vulnerabilidade de segurança descoberta na plataforma de mensagens e comunicações instantânea. Algo que pode afetar milhões de pessoas em todo o mundo, abrangendo a enorme base de utilizadores ativos do WhatsApp.
Tudo o que os atacantes precisam de saber é o número de telefone do contacto. Ora, tendo em conta a magnitude da última fuga de informação do Facebook, com os dados disponíveis em bases de dados em fóruns de hacking, não será difícil lá chegar.
A mecânica desta grande exploit do WhatsApp
O processo de verificação em dois fatores está ativo por predefinição no WhatsApp ao criar uma conta. É também um dos elementos de segurança mais dáveis na aplicação de mensagens uma vez que depende bastante do elemento humano.
É aqui que os atacantes podem aproveitar a suscetibilidade humana para aceder às contas das vítimas. Note-se que o funcionamento deste sistema é muito simples. Assim que se faz a instalação do WhatsApp num smartphone, é pedido o número de telefone. Em seguida é solicitado o código de verificação, recebido por SMS com vista à verificação da conta.
Ainda assim, qualquer pessoa pode introduzir o número de telefónico de outro utilizador ao instalar o WhatsApp num dispositivo. Se o objetivo for bloquear a conta desse utilizador, basta introduzir o seu número de telefone e solicitar o código de verificação que lhe permita verificar a conta.
Como bloquear uma conta de utilizador de WhatsApp em 5 minutos
Uma vez que o número a ser atacado pertence a outra pessoa, as mensagens com o código de verificação serão enviadas para o respetivo telefone. Em pouco tempo o utilizador visado começará a receber várias SMS com os códigos de verificação
A par desta mensagens, o utilizador legítimo receberá várias notificações avisando-o de que estão a tentar iniciar sessão noutro dispositivo móvel. O natural será descartar esta ocorrência, ignorando as notificações repetidas, certo?
Contudo, quando são solicitados vários códigos de autenticação num curto espaço de tempo o WhatsApp bloqueará a tentativa de acesso à conta durante 12 horas. Este é um mecanismo de proteção do WhatsApp com vista à proteção do utilizador.
Infelizmente, se o objetivo for bloquear a conta do utilizador, é isto que acaba por acontecer. Ao fazer um flood de pedidos ao WhatsApp por novos códigos a plataforma encerrará a conta nos dispositivos em que está ativa, neste caso, o telefone da vítima.
Uma forma perniciosa, mas eficaz para bloquear uma conta no WhatsApp
É precisamente aqui que o atacante pode pôr em prática o último passo da sua estratégia para bloquear a conta de WhatsApp da vítima. Para tal, basta enviar uma comunicação por correio eletrónico, email, ao suporte do WhatsApp alegando que o telefone foi perdido e pode ter sido roubado. Aí consta o número de telefone da vítima e um pedido de desativação da mesma.
Muito em breve, um email gerado automaticamente pelo WhatsApp é recebido pelo atacante onde é assegurado pela plataforma que a conta foi suspensa como pretendido. Em seguida a vítima verá que a sua conta de WhatsApp foi apagada do telefone.
Nesse instante é revelado o ataque, quando o visado deixa de puder usar o WhatsApp no seu telefone. Ao tentar voltar a entrar e verificar-se no WhatsApp esbarrará com o bloqueio de 12 horas devido ao flood prévio. Caso volte a pedir um código de verificação via SMS, o contador de horas aumentará o tempo de bloqueio.
A plataforma não tem, de momento, intenções de alterar a mecânica de proteção / bloqueio da conta de utilizador. Algo que não passa despercebido aos meliantes que podem tirar proveito desta mecânica algo rebuscada, mas eficaz.
Por fim, uma das poucas precauções contra este tipo de ataques passa por ativar a autenticação em dois fatores no WhatsApp e associar também um email de recuperação.
Antes de ires, vê como ativar este procedimento de segurança na tua conta.
Editores 4gnews recomendam:
- Xiaomi Mi TV Q1 75 tem um grande senão nos 120 Hz para a PS5
- LG: estes são os smartphones com atualização para o Android 12 e Android 13
- Clubhouse terá exposto dados de 1,3 milhões de utilizadores, empresa refuta hacking