Saiba como proteger seu WhatsApp de invasores e hackers

Recurso de verificação em duas etapas ajuda a evitar que sua conta do WhatsApp seja sequestrada

Ainda que seja diferente de invadir uma conta no Facebook, hackear um WhatsApp está longe de ser impossível. Existem diferentes técnicas, que envolvem um pouco de conhecimento técnico e muita engenharia social. Mas uma solução simples pode ajudar a evitar que você seja uma vítima: a chamada verificação em dois passos ou duas etapas.

E ativá-la é bem fácil.No WhatsApp para Androids e iPhones, o caminho é o mesmo. Vá primeiro em Configurações (ou Settings, caso seu sistema esteja em inglês) e depois em Conta (Account). No novo menu, clique em Verificação em duas etapas (Two-step verification) e depois em Ativar (Enable). Feito isso, é só definir uma combinação de seis dígitos — algo que você não esqueça, mas que também não seja tão simples quanto 123456.

Essa senha numérica será solicitada pelo WhatsApp de tempos em tempos para checar se você ainda é você. A combinação também será exigida na hora de configurar o aplicativo em outro celular. A solução não deixa a conta imune a hackers — até porque isso só é possível aliando um recurso de proteção como esse à educação dos usuários sobre os riscos de ataques na web —, mas dificulta bastante o trabalho de um eventual cibercriminoso.

Como hackear um WhatsApp?

Os processos usados por cibercriminosos para hackear uma conta de WhatsApp são um pouco mais complexos do que o tradicional roubo de senhas, que é a base de invasões de contas em redes sociais. Há dois métodos mais conhecidos.

O primeiro deles ganhou notoriedade no começo deste mês, quando uma onda de ataques atingiu usuários em Israel, como relatado em reportagem do jornal Times of Israel. A técnica é bastante simples e envolve correios de voz. O hacker primeiro instala o WhatsApp no seu próprio smartphone e tentar ativar uma conta com o número da vítima. O aplicativo, então, oferece duas formas de enviar um código de verificação: por SMS ou ligação.

O invasor, agindo em um horário em que a vítima não está ativa, escolhe a segunda. Ao ligar para o telefone da pessoa, o WhatsApp acaba por deixar uma mensagem no Correio de Voz — e tudo que o criminoso precisa fazer é invadir essa caixa postal, algo que não é difícil, visto que nem todo mundo costuma trocar a senha de acesso dela. Com o código de verificação em mãos, o invasor pode, então, tomar a conta.

Nesse caso, usar a verificação em dois fatores ajuda porque cria uma segunda barreira na ativação. Mesmo que o hacker consiga cadastrar a conta no próprio celular, ele ainda precisará informar a senha que foi definida pelo usuário — algo que o WhatsApp não libera.

Já o segundo método é mais complicado e pende mais para a engenharia social. Chamado de SIM Swap, o processo explora o fato de que operadoras podem transferir um número de telefone de um cartão SIM para outro. O cibercriminoso primeiro coleta dados da vítima, seja por meio de ligações ou e-mails enganosos. Depois, ele usa as informações para convencer um atendente de operadora a transferir o telefone para seu chip.

Ataques desse tipo conseguem até driblar alguns métodos de verificação em dois fatores, como os usados por Facebook, Twitter e outros serviços. Isso porque, com o telefone da vítima, o invasor consegue receber até mesmo mensagens SMS com códigos de autenticação que esses sites enviam. No entanto, não é o caso do WhatsApp — a combinação única é criada pelo próprio usuário, o que significa que a conta fica relativamente protegida.

Por Gustavo Gusmão, São Paulo