Como se proteger do golpe do WhatsApp que pegou até ministros do governo

Você sabe como proteger seu WhatsApp contra clonagem?

Recentemente a Polícia Federal prendeu quatro pessoas suspeitas de integrar uma quadrilha que clonava celulares, inclusive de políticos, na Operação Swindle.

Com acesso às respectivas contas de WhatsApp, passavam-se por eles pedindo dinheiro para pessoas conhecidas, usando como ponto de partida suas conversas recentes. Não sei se você, assim como eu, está pensando: que moral tem esse povo para conseguir dinheiro fácil assim, com uma mensagem de WhatsApp!?

Mas enfim, a questão é que pouco se fala dos cuidados necessários para se proteger de golpes desse tipo. Serviços de mensagens, especialmente o WhatsApp, oferecem ferramentas para defesa das suas contas, mesmo em casos de clonagem de chip, um procedimento muito simples. Desde uma atualização, feita em fevereiro de 2017, o serviço solicita aos usuários a criação de uma senha de acesso.

“Configurações de segurança muitas vezes demandam iniciativa por parte dos usuários, e aqui temos um ótimo exemplo. O aplicativo sugere a criação de senhas, mas não é algo obrigatório.

A responsabilidade aqui é do usuário, e ela é necessária”, reforça Anderson Ramos, Chefe de Tecnologia da Flipside, consultoria especializada em conscientização em segurança da Informação.

O objetivo deste mecanismo é justamente impedir que sua conta possa ser acessada facilmente a partir de outros aparelhos. Se você configurou, parabéns! Já quem pediu para nunca mais ser lembrado de fazer o procedimento, está exposto a um risco muito alto. E há uma série de detalhes que ambos ainda precisam saber e que vão muito além da preocupação da clonagem: pessoas próximas a você (ou bandidos com acesso ao seu celular) podem ter acesso às suas mensagens com muita facilidade, caso você não tome cuidados básicos.

A primeira medida de segurança é a configuração desta senha. Você pode encontrar a opção em Ajustes/Configurações > Conta > Verificação em duas etapas. Esta é uma senha numérica de 6 caracteres e precisa ser fornecida toda vez que você instala o Whatsapp em um novo celular. Uma vez configurada, de tempos em tempos, o WhatsApp vai pedir que você a digite antes de abrir o aplicativo, portanto você tem que lembrar dela periodicamente.

Evite datas conhecidas, nem use a mesma senha que você usa para destravar o celular (sim, você também precisa configurar uma) ou a mesma senha de cartões de bancos e outros serviços. O melhor nestes casos, para não ter que memorizar diversas senhas diferentes, é usar gerenciadores de senhas como o Keepass, Lastpass e 1Password. Há versões gratuitas e pagas, sendo que as últimas normalmente são mais fáceis de usar. Porém, uma senha ruim ou repetida é melhor que senha nenhuma nesse caso.

Para entender o papel que esta senha terá na proteção, é importante entender como a clonagem do WhatsApp, e de serviços similares como o Telegram, funciona. Quando um destes programas é instalado em um novo celular, a primeira pergunta feita é qual o seu número do telefone. O aplicativo então envia um código para este número via mensagem SMS e, caso ele seja digitado corretamente, quaisquer outros aparelhos que tenham o aplicativo instalado serão desconectados. Caso você tenha o backup de mensagens ativado, todas as mensagens do seu aparelho antigo serão imediatamente transferidas para este aparelho novo, seja ele seu ou do golpista.

Em abril de 2016 o Whatsapp implementou criptografia fim a fim na troca de mensagens. Houve chiadeira de forças policiais e juízes. Porém, há um segredinho que pouca gente mencionou: quando você aceita fazer backup das mensagens na nuvem, algo que é insistentemente oferecido pelo aplicativo, suas mensagens ficam todas salvas nos servidores da empresa, sem o mesmo nível de proteção.

Caso você tenha essa opção habilitada e seja vítima do golpe, todo seu histórico de mensagens será copiado para o aparelho do criminoso. O mais adequado é desativar esse backup (e sempre responder não toda vez que essa opção lhe for oferecida). Utilize as ferramentas fornecidas por Apple ou Google para fazer uma cópia de segurança de todos os dados no seu telefone, dessa forma suas mensagens (e o resto das informações que você tiver no aparelho) ficam guardadas de forma mais protegida.

Entretanto ainda existem alguns truques que podem ser usados, especialmente por pessoas bisbilhoteiras próximas a você. Os smartphones costumam permitir a pré visualização das mensagens nas notificações com o celular travado, mesmo com a senha ativada, e essa é a configuração padrão da maioria dos aparelhos. Se uma pessoa deixa o celular em cima da mesa de trabalho enquanto vai ao banheiro, por exemplo, um colega de trabalho pode usar do mecanismo que explicamos aqui para clonar seu número, olhando a notificação de SMS que o celular receberá.

Por fim, há ainda casos onde a pessoa mal intencionada pode simplesmente remover o chip do smartphone e colocá-lo em outro aparelho para receber esse SMS com o código, mesmo em smartphones protegidos por senhas e com pré-visualização de mensagens desativada. Para se proteger contra esses (e muitos outros ataques) o recomendado é você colocar uma senha (PIN) de proteção no seu SIM card (o chip da operadora). Para isso, recomenda-se que você esteja de posse do cartão fornecido pela sua operadora de telefonia no momento da compra do chip.

Este cartão contém um número chamado PUK, ele é exclusivo para cada chip e pode ser usado caso você esqueça o PIN do seu. Caso você tenha jogado esse cartão fora, recomenda-se que você visite a loja da sua operadora e compre um chip novo (é barato, cerca de R$10 a R$20). Assim, você não só tem a tranquilidade de ter seus dados protegidos como evitará muitas dores de cabeça, como contas estratosféricas se seu smartphone for roubado.

Você também pode ativar notificações extra de segurança. Assim você será notificado todas as vezes que a chave de segurança de uma pessoa com a qual você se comunica tenha sido modificada. Isso significa que a pessoa trocou de telefone, ou que foi vítima de um golpe. Nestes casos, use um outro canal para confirmar o que aconteceu antes de continuar a conversa. Para ativar selecione Ajustes > Conta > Segurança > Exibir Notificações de Segurança.

Para um dia a dia mais seguro, lembre-se também de manter seu celular sempre atualizado. Tanto sistema operacional, como aplicativos, estão sempre lançando atualizações que você deve sempre instalar, não só para receber novas funcionalidades, mas também para a correção de falhas conhecidas.