A Kaspersky identificou uma nova campanha de phishing que tem como alvo os utilizadores do WhatsApp, explorando um esquema fraudulento de votação. Este ataque atrai as vítimas para uma página de votação alegadamente dedicada a jovens atletas, embora outros temas de votação também estejam a ser usados. O método pode ser facilmente adaptado a diferentes cenários e o objetivo final dos cibercriminosos é o sequestro de contas do WhatsApp.
A Kaspersky tomou conhecimento de um esquema fraudulento que redireciona os utilizadores para uma página aparentemente legítima com concurso de votação. Por exemplo, a página pode mostrar fotografias de atletas, cada uma acompanhada de um botão “Votar” e de contadores em tempo real a exibir supostos totais de votos e o número de participantes. Estes elementos criam uma falsa sensação de autenticidade e incentivam a interação do utilizador. A página alega ainda que qualquer pessoa pode participar no concurso após a “autorização”, prometendo prémios oferecidos pelos patrocinadores.
Ao clicar nos botões “Votar” ou “Autorizar”, os utilizadores são redirecionados para um site fraudulento que os incentiva a “autorizar de forma rápida” pelo WhatsApp. A página pede ao utilizador que introduza o número de telemóvel associado à sua conta. Os atacantes aproveitam a funcionalidade de login do WhatsApp Web e introduzem o número de telefone da vítima, no qual o sistema gera um código único de seis dígitos que o site fraudulento copia. Quando a vítima introduz este código na aplicação do seu smartphone, a sessão web iniciada pelos atacantes torna-se ativa, permitindo-lhes espiar as conversas, enviar mensagens e, eventualmente, assumir o controlo da conta.
“Verificamos que os concursos online com votações estão muito populares atualmente e os atacantes exploram a confiança que os utilizadores depositam nesta atividade aparentemente inofensiva. Ao combinar engenharia social com interfaces falsas e convincentes, os cibercriminosos transformam o envolvimento dos utilizadores numa arma para roubar dados sensíveis. A consciencialização e a vigilância são fundamentais para garantir a segurança”, afirma Tatyana Shcherbakova, Web Content Analyst da Kaspersky.
Para se proteger deste tipo de esquemas de sequestro de contas, a Kaspersky recomenda:
· Ativar a verificação em duas etapas: habilite a funcionalidade de verificação em duas etapas do WhatsApp para acrescentar uma camada extra de segurança, exigindo um PIN para aceder à conta.
· Verificar a autenticidade dos websites: evite introduzir informações pessoais em sites desconhecidos, especialmente aqueles acedidos através de links não solicitados. Confirme sempre a legitimidade do URL.
· Nunca partilhar códigos de verificação: o WhatsApp nunca pedirá o seu código de verificação. Não o partilhe com ninguém, nem o aceite de terceiros, mesmo que pareçam fontes de confiança. · Utilizar software de segurança fiável e comprovado, capaz de detetar e bloquear websites e links maliciosos
