Jefferson, 
09 de agosto de 2017, 
Pior ainda: fiquei sabendo pelo UOL!
A matéria é sobre um golpe que conheci meses atrás mas que parece estar ficando “popular”. Criminosos conseguem desativar seu chip na operadora e registrar outro com o mesmo número e com isso conseguem instalar o Whatsapp e falar com todos os seus contatos se passando por você. Claro, usam isso para conseguir dinheiro “emprestado”.
O golpe eu conhecia. O que eu não sabia é que o Whatsapp já tinha o recurso que evita que isso aconteça: pedir uma senha ao reinstalar a app. Em menu -> Settings -> Account -> Two-step verification.
Já vou fazer isso no meu telefone e nos da família.
Jefferson, também ativei pra evitar golpe; mas no meu não funciona como eu pensei.
Achei que a cada vez que fechasse o aplicativo, ele ia pedir ao abrir;
Mas no meu só pede de vez em quando. Mantive mas não confio.
Mas a intenção aqui não é evitar que alguém pegue seu celular e use sua conta sem autorização. Isso você pode (e deve) evitar por outros meios. A intenção é evitar que alguém se apodere da sua conta Whatsapp e personifique você enquanto você está com seu telefone no bolso.
Eu encontrei um possível problema. A app pede um endereço de email para resetar o PIN caso eu esqueça. Se eu defino um endereço de recuperação, abro uma brecha para o bandido que clonou meu número e assim eventualmente tenha acesso ao meu email principal de pedir o reset do PIN e pronto.
A saída? Dar um endereço de email diferente do principal e que não encaminhe para ele.
Eu ACHO que isso não é problema para mim porque eu tenho autenticação em duas etapas também em minha conta principal de email, mas veja se você entende por que eu acho isso preocupante:
Há algum tempo a Google vem teimando em que você diga a eles seu número de celular. Eu resisti por algum tempo mas acabei cedendo “para a minha segurança”. Meses depois eu descobri que a Google passou a aceitar resetar a senha da sua conta bastando que você confirme um código enviado por SMS para o seu telefone. A pessoa nem precisa saber qual é a sua conta, porque a Google agora aceita que você diga apenas o número do telefone para identificar você!
Já percebeu onde está o problema?
Se o golpe consiste em clonar meu número e a Google reseta sua conta enviando um SMS para o bandido, que nem precisa saber seu email, este vai dar risada enquanto burla todos os obstáculos que você criou para ele. Só faltava a Google também deixar a autenticação em duas etapas ser contornada com um SMS.
O que vocês acham?
Eu acabo de testar. Simulei o que um bandido faria com acesso a um clone do meu chip. E fiquei contente ao ver que a Google não se contenta em saber que a pessoa tem acesso ao telefone. A empresa aceita que eu não tenha o token da autenticação em duas etapas mas pergunta outras coisas sobre a conta. E certas perguntas nem eu sei responder! Como o mês e ano da criação da minha conta.
Por enquanto eu estou satisfeito.
Eu imagino que isso só aconteça se você usar o mesmo número que está no celular, correto? Se usar o número de um outro celular na recuperação da conta google, a exemplo um segundo seu ou de irmão ou mãe, vai dificultar mais ainda a recuperação.
Em tempo, eu fiz isso no google, usei o número de um celular que eu mantenho, mas não levo ele pra rua, ele fica só dentro de casa.
Isso parece ser um uma boa idéia e vou pensar melhor sobre isso, mas estou vendo uma falha aí. Você sabe que não é o seu número principal, mas você disse à Google que é. Se o bandido em vez de clonar o seu número principal clonar o outro, a Google vai aceitar e para ela não vai fazer diferença alguma. O bandido nem precisa saber que na verdade você usa outro número. Só não vai dar certo pelo que eu disse acima: a Google pergunta outras coisas.
Acho que até fica mais seguro se você der o número de um telefone que esteja registrado no nome de outra pessoa. Um número que você deixa em casa mas registrado em seu nome é um pouco menos seguro.
Em tempo: eu acho que esses ataques são direcionados. Os criminosos não vão perder tempo aleatoriamente clonando chips de zé-ruelas sem dinheiro e principalmente os que usam chip pré-pago como eu. Certamente existe cooperação de gente nas operadoras e eles devem ter informações prévias sobre suas vítimas. O tamanho da conta de celular pode ser um bom indicativo.
“Uma vez habilitado, você precisa digitar uma senha de seis dígitos. O sistema usará então essa senha e o código enviado via SMS para ativar ou reativar sua conta no WhatsApp.”
Fui ler a reportagem, mas isso me abriu uma dúvida… essa autenticação em duas etapas na verdade acaba sendo meio que furada se o bandido estiver usando o numero do celular “clonado”. Se por algum acaso ele descobrir sua senha de 6 dígitos, ele vai receber o SMS e o estrago está feito.
Acho que você não entendeu. Não há nenhum SMS envolvido na autenticação do Whatsapp.
E se o bandido tiver oportunidade de descobrir um PIN de 6 dígitos (espero que exista um limite de tentativas) é “game over” até para sua conta bancária.
oops… não há nenhum SMS envolvido na segunda etapa de autenticação, que envolve o PIN.
Mas agora eu acho que entendi o que você quis dizer. Você está supondo que o SMS de confirmação de propriedade do número seja enviado apenas se você entrar o PIN correto.
Eu estou supondo que o SMS seja enviado antes de pedir o PIN, porque isso evita que o bandido possa ficar testando PINs sem nem ter acesso ao seu telefone. Se ao ativar a autenticação em duas etapas o Whatsapp pedir o PIN primeiro, eles estão doidos.
Bem… a gente sabe que a senha de preferência mundial é 123456 então… tudo é possível. E sabemos também que a relação entre saber o que está fazendo com um treco deste costuma também ser inversamente proporcional a quantidade de dígitos que o cara tem no saldo bancário.
Então é por isso que raramente meu saldo fica nos quatro dígitos por muito tempo…
ahahahaha… tamos juntos!
O Whatsapp me pediu o PIN hoje, argumentando que é para “que eu não esqueça”. Eu não testei o que aconteceria se eu tivesse esquecido e estivesse precisando do Whatsapp.
Na verdade como eu achei que seria uma coisa que eu só precisaria usar a cada x meses ou anos na troca de telefone, eu nem tentei decorar. Anotei em um arquivo criptografado em casa.