É possível que uma conta de WhatsApp seja roubada ou hackeada mesmo com a verificação em duas etapas?

Foto: Reprodução - Nenhuma violação de direitos autorais pretendida

Foto: Reprodução - Nenhuma violação de direitos autorais pretendida

Entenda como uma conta de WhatsApp pode ser roubada mesmo com a confirmação em duas etapas e saiba se proteger. Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), envie um e-mail para [email protected] A coluna responde perguntas deixadas por leitores às terças e quintas-feiras.

Confirmação em duas etapas pode ser burlada em alguns cenários.

Reprodução

Tenho amigos que afirmam que suas contas de WhatsApp foram roubadas mesmo com a verificação em duas etapas ativa. É possível isso? Não há efetiva proteção contra roubo da conta de WhatsApp? Daniel Evaldt

Embora a verificação em duas etapas adicione uma camada extra de proteção e impeça boa parte dos ataques, existem alguns cenários em que a conta do WhatsApp pode ficar temporariamente inacessível ou ser transferida para outra pessoa.

Se o invasor obtiver o código de verificação recebido por SMS e usá-lo em outro telefone, o WhatsApp será desconectado. Porém, ele não conseguirá finalizar a ativação do WhatsApp sem o PIN.

Em outras palavras, a confirmação em duas etapas não impede o início da fraude, mas sim a concretização dela. Se a vítima não souber disso, ela pode se enganar achando que a invasão aconteceu mesmo quando o recurso protegeu a conta.

Se o invasor realmente conseguiu roubar a conta desconectá-la do telefone original e ativá-la em outro aparelho para mandar mensagens, a história é diferente. Para que isso aconteça, é necessária uma violação do mecanismo de autenticação em duas etapas.

Vejamos cada situação em que isso pode ocorrer:

Se o criminoso já obteve acesso ao e-mail da vítima (com uma página falsa para roubar o usuário e a senha, por exemplo, ou através de um vazamento de dados e senha repetida), o e-mail pode ser usado para redefinir a confirmação em duas etapas. Por essa razão, é obrigatório proteger a conta de e-mail cadastrada no WhatsApp para garantir a segurança da conta.

Existem casos em que criminosos conseguem transferir a linha para outro chip e receber o SMS da ativação diretamente. Nesses casos, o WhatsApp será desconectado e não será possível reativá-lo de imediato. Desde que a linha seja recuperada em sete dias, o criminoso não poderá acessar a conta do WhatsApp sem saber o PIN da confirmação em duas etapas. Após sete dias, o WhatsApp deixará de exigir o PIN. Se o número ainda estiver sendo controlado por outra pessoa, ela poderá ativar o WhatsApp. É possível perceber quando isso acontece, pois o chip no telefone deixará de funcionar e não será possível fazer ligações nem acessar a rede móvel de dados.

Pode ser possível capturar a senha de confirmação em duas etapas por meio de um aplicativo espião. Para evitar apps espiões, baixe aplicativos apenas nas lojas oficiais.

Há diversos casos em que criminosos aplicam fraudes que convencem as vítimas a fornecer também a senha da confirmação em duas etapas. O PIN não pode ser informado a ninguém.

O PIN pode ser adivinhado, principalmente se o número tiver relação com algum dado pessoal.

Acesso por WhatsApp Web

É preciso ter cuidado para não confundir o roubo da conta do WhatsApp com outros tipos de violações.

Quem deixa o celular desbloqueado pode facilmente ter a sua conta "clonada" por meio do WhatsApp Web, por exemplo. Mas isso não é um roubo da conta do WhatsApp, porque ela permanece ativa no celular original.

Isso não quer dizer que a invasão do WhatsApp Web não seja grave. Pelo contrário: o WhatsApp Web revela todas as mensagens anteriores que não foram apagadas – algo que não acontece com o simples roubo da conta. Normalmente, o roubo da conta do WhatsApp só dá acesso aos grupos.

WhatsApp e linha cancelada: o novo dono do número poderá ver suas mensagens?

Como qualquer senha, o PIN do WhatsApp não pode ser uma sequência de números fácil de adivinhar, como a data de nascimento ou outra data importante. Não é impossível que os criminosos consigam dados pessoais associados ao número de telefone.

Nossa segurança é sempre uma soma de fatores e um processo constante. Não adianta configurar a confirmação em duas etapas no WhatsApp e não ativar essa tecnologia na sua conta Google/Apple ou outra conta de e-mail que você usa para proteger o WhatsApp, por exemplo porque aí a conta de e-mail se torna o elo mais fraco.

Por outro lado, tomando alguns pequenos cuidados em tudo que fazemos ao baixar aplicativos, ou ao configurar nossas senhas, ou ao não demorar para reagir quando notarmos um algo de errado com o chip tem-se uma segurança muito maior do que apostando todas as fichas em um único recurso de proteção.