Um novo golpe explora uma fragilidade no sistema de acesso via QR Code para sequestrar contas que usam esse tipo de autenticação, como o WhatsApp Web. Hackers desenvolveram uma ferramenta que executa o QRLjacking, uma técnica capaz de clonar códigos QR para capturar as credenciais do usuário que deseja fazer login. O hacker precisa apenas convencer o alvo a usar o próprio celular para escanear a imagem clonada em um site falso. Quando a estratégia é bem-sucedida, o criminoso ganha acesso ao histórico completo de conversas da vítima sem levantar suspeitas. Conheça detalhes do golpe que ameaça usuários do WhatsApp e saiba se proteger.
Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo
Como funciona
A técnica de QRLjacking consiste em clonar o código QR original exibido na hora de fazer login. No caso do WhatsApp, o hacker pode mostrar o QR code em uma página própria, modificada especialmente para interceptar a autenticação enviada pelo aplicativo na hora de escanear com o celular para usar o WhatsApp Web ou no WhatsApp Desktop.
De posse da informação de login, o criminoso pode acessar a conta da vítima em outro dispositivo e começar a bisbilhotar as conversas. A invasão não impede que a vítima siga usando o WhatsApp normalmente no celular, tornando o ataque mais difícil de ser descoberto.
O passo seguinte consiste em monetizar a invasão, seja usando informações de conversas privadas para extorquir a vítima ou mirando em números de cartão de crédito e outros dados bancários compartilhados pelo usuário com contatos confiáveis sem saber que existe alguém à espreita.
Phishing
O golpe só tem chances de dar certo se o usuário escanear um código QR do WhatsApp em canais não oficiais. É possível se deparar, por exemplo, com páginas falsas que imitam o WhatsApp Web ou sites que prometem prêmios chamativos para encorajar uma vítima em potencial a entrar no WhatsApp e escanear o código que aparece na página. O código funciona, pois é fruto de clonagem realizada pelo hacker. A página falsa é responsável por interceptar o login.
O método chama atenção porque não requer conhecimentos aprofundados para ser aplicado. Em tese, é preciso apenas baixar um programa disponibilizado por hackers na internet para clonar códigos QR. Depois, basta criar uma página chamativa e ficar à espreita em uma rede pública, em busca de potenciais vítimas. O caso traz mais características de phishing do que de um ataque hacker sofisticado.
Como se proteger
A maneira mais simples de não ser uma vítima é nunca fazer login no WhatsApp em sites suspeitos. A recomendação é acessar sempre via WhatsApp Web (web.whatsapp.com) ou o WhatsApp Desktop, disponível na Microsoft Store do Windows e na Mac App Store do macOS.
Para não cair em armadilhas de sites falsos, é importante também evitar fazer um novo login no WhatsApp Web em conexões Wi-Fi públicas. O hacker precisa estar na mesma rede da vítima para aplica
Em caso de suspeitas, verifique se há conexão HTTPS no WhatsApp Web (o oficial sempre tem) e cheque a grafia do endereço para se certificar de que o computador está acessando a página autêntica.
Via ESET e INFOSEC Institute
Como desvincular uma conta do WhatsApp de um celular? Veja no Fórum TechTudo.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- Como descobrir código da service tag de um PC da Dell com Windows ou Linux
- Enem 2018: como saber o local de prova
- PUBG: veja as skins mais bizarras e polêmicas do Battle Royale
- Reclamações sobre banda larga da Claro disparam 90%, revela Anatel
- Como usar o Guia de Profissões do site Mundo Senai
- Jogo de corrida no Instagram: veja como usar o filtro Lop-lop Karting
- Como fazer stream na Cube TV pelo celular?
- Como instalar aplicativos exclusivos de iPhone no iPad
- Journey, famoso game para PlayStation 4, é lançado para iOS
- App para resfriar celular: saiba como usar o dfndr security no Android