Como evitar a clonagem do WhatsApp e do Telegram

Não basta ativar a verificação em 2 fatores... Saiba mais.

Muita gente já configurou a verificação de dois fatores no WhatsApp e no Telegram. Mas o que muita gente não sabe é que o Telegram não criptografa as mensagens de ponta a ponta por padrão – como faz o WhatsApp –, mas somente as dos chats secretos.

Por outro lado, o código do Telegram é público e qualquer falha pode ser descoberta por especialistas e pesquisadores. No caso do WhatsApp, sendo de código proprietário, tudo depende apenas da empresa proprietária (Meta).

O WhatsApp, o mensageiro da Meta (Facebook), tem mais de 2 bilhões de usuários* em todo o mundo. A gigantesca popularidade faz com que seja um dos alvos preferidos dos cibercriminosos. Concorrente do WhatsApp, o Telegram tem "apenas" 550 milhões de usuários.

Como saber se você foi vítima desse golpe

Ambos os mensageiros estão sujeitos ao golpe da troca de chip (SIM swap ou SIM hijack, em inglês) e, quando isso acontece, um invasor pode recuperar todas as mensagens também.

Nesses golpes, a linha telefônica da vítima é transferida para um novo chip e o invasor pode recuperar senhas e acessar contas associadas àquele número de telefone. Há alguns sintomas que revelam se você foi vítima do golpe de troca de chip:

  • O seu telefone “morre”: você não pode fazer nem receber ligações, não consegue se conectar à internet e vários apps param de funcionar.
     
  • No caso do WhatsApp, se você não habilitou previamente o compartilhamento com outro dispositivo, o app simplesmente não carrega as suas mensagens e informa que sua conta está conectada em outro celular.
     
  • Você recebe uma ligação telefônica do seu próprio número de telefone, revelando que algo errado está acontecendo entre você e a sua operadora.

Como tudo isso começa

Os desenvolvedores dos mensageiros só têm acesso aos números de telefone envolvidos, ao sistema operacional dos aparelhos, ao nome dos usuários, quando começaram a utilizar o serviço, ao dia e à hora do último acesso, aos grupos dos quais a pessoa participa.

Todas as mensagens no WhatsApp e as dos chats secretos do Telegram não podem ser acessadas pelas empresas. Mas se os apps são tão seguros, por que há tantos golpes? Os golpes acontecem não por falhas na segurança dos apps, mas por táticas de engenharia social.

Como é feito esse golpe?

Há vários caminhos que permitem aos cibercriminosos aplicar esse golpe:

  • Se você clicar em links infectados em e-mails e mensagens, pode ir parar em um site falso, mas muito parecido com o verdadeiro, e ter seus dados (e-mail, senha, CPF, etc.) roubados. Por isso, habilite o Módulo Internet do Avast Mobile Security para ele analisar automaticamente todos os links que você abrir no seu navegador.
     
  • Além dos links para sites falsos, propagandas infectadas podem redirecionar você para sites falsos (malvertising).
     
  • Se você usa no WhatsApp a mesma senha que já vazou na internet, usando técnicas de engenharia social, os cibercriminosos interceptam o SMS com o código de verificação de dois fatores ou realizam um man-in-the-middle (especialmente em redes Wi-Fi públicas) para clonar sua conta.
     
  • Um funcionário da operadora que faz parte de um esquema de fraude registra o seu chip em nome de outra pessoa (clonagem de chip).
     
  • Um cibercriminoso consegue acesso ao computador onde você usa o Telegram Desktop, e consegue exportar todo o histórico das conversas. É incrível que o Telegram não exija a senha para criptografar este processo!
     
  • Por fim, a mais difícil de todas, seria a interceptação do fluxo de dados de telefonia, abusando de falhas no protocolo SS7 (Signaling System nº 7) como se pode ver nestes antigos vídeos de ataques SS7 ao WhatsApp e ao Telegram.

A criptografia de ponta a ponta não resolve tudo

Nenhum aplicativo é perfeito e os especialistas em segurança dão as seguintes dicas para sua proteção e privacidade:

  • Use uma senha forte para se proteger contra o golpe de troca de cartão (SIM swap): Configurações > Privacidade e segurança > Verificação em duas etapas.
     
  • Habilite a verificação de 2 fatores no WhatsApp: Configurações > Conta > Verificação em duas etapas > Ativar; e no Telegram: Configurações > Privacidade e Segurança > Verificação em Duas Etapas.
     
  • Evite rotear o seu aparelho ou use um antivírus robusto, capaz de bloquear a ação de malwares de forma automática e em tempo real. Se você também usa o Telegram ou o WhatsApp no computador, você precisa de um antivírus robusto que proteja você contra ataques man-in-the-middle e outros malwares.
     
  • Desative as visualizações de mensagens e SMS na tela de bloqueio, para que um cibercriminoso não as possa ver caso tenha roubado o seu aparelho.
     
  • Atualize o seu sistema operacional e todos os seus apps para corrigir falhas de segurança.
     
  • Dê preferência a apps das lojas oficiais: apps e jogos maliciosos (ou desatualizados) permitem que cibercriminosos assumam o controle remoto do seu smartphone.
     
  • No WhatsApp, use uma senha para criptografar o backup automático dos dados na nuvem, pois eles não são protegidos pela criptografia de ponta a ponta. Também os seus contatos precisam fazer o mesmo e a sua privacidade também depende deles!
     
  • Use um aplicativo VPN – tanto no computador quanto no smartphone – principalmente em qualquer rede Wi-Fi pública e gratuita.
     
  • No Telegram, use o chat secreto com criptografia de ponta a ponta. Apenas essas conversas não são armazenadas nos servidores do Telegram e, além disso, não é possível tirar fotos (prints) da tela, as mensagens não podem ser reencaminhadas, não há visualização das mensagens nas notificações ou na tela de bloqueio.
     

A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.

Photo by Marlon Alves on Unsplash

--> -->