O WhatsApp Pay, serviço de pagamentos do aplicativo de mensagens instantâneas, WhatsApp, foi finalmente lançado para usuários no Brasil. Os pagamentos realizados pelo aplicativo utilizam tecnologia Facebook Pay e são processados pela Cielo.
- Reconhecimento facial: a nova tendência em autenticação de identidade
- Software de teste de código sofre ataque à cadeia de suprimentos: FBI acredita em relação com SolarWinds
- TJ-RS é vítima do ransomware REvil. Gangue pede U$ 5 milhões pelo resgate
Usuários dos bancos e instituições financeiras: Banco do Brasil, Inter, Bradesco, Itaú, Mercado Pago, Next, Nubank, Sicredi e Woop, agora podem associar suas contas ao aplicativo e realizar pagamentos. As transações são validadas por um PIN definido na configuração do serviço e pela biometria do smartphone (caso o dispositivo conte com essa tecnologia).
O recurso foi autorizado pelo Banco Central (BC) em março deste ano, considerado pela instituição como uma ferramenta benéfica para a população no geral. O serviço é gratuito. Mas, segundo BC, que é o órgão regulador da economia no país, o WhatsApp pode escolher quanto e como cobrar.
"O Banco Central acredita que as autorizações concedidas poderão abrir novas perspectivas de redução de custos para os usuários de serviços de pagamentos", disse um porta-voz em um comunicado à imprensa veiculado no dia da autorização.
Assim como qualquer nova tecnologia (como houve com o lançamento do PIX), o lançamento do WhatsApp Pay, gerou bastante dúvida e preocupação com relação à segurança desses pagamentos.
Para discutir os problemas de segurança e os possíveis golpes envolvendo o WhatsApp Pay, a The Hack convidou o analista de segurança sênior da Kaspersky, Fabio Assolini e o líder de threat intelligence da Axur, Eduardo Schultze. Confira!
Ataques envolvendo WhatsApp podem aumentar
Eduardo Schultze, líder de threat intelligence da Axur, explica que, os golpes e fraudes envolvendo o WhatsApp devem aumentar, principalmente agora por contar com uma ferramenta de fácil transferência de dinheiro.
“O número de golpes vai aumentar [...] Mas, é uma inovação que também traz benefícios para a população, principalmente comerciantes. É realmente uma inovação e, assim como qualquer inovação, os bandidos também vão utilizar, como vem acontecendo com o PIX. Tudo que facilita a nossa vida, os criminosos digitais também utilizam”, diz Schultze.
No WhatsApp, as principais temáticas dos ataques estão relacionadas à pandemia da COVID-19 e ao Auxílio Emergencial. Segundo Schultze, os ataques devem continuar com essa temática, mas realizar furtos financeiros, agora se tornou mais fácil.
“Já são praticados diversos golpes no WhatsApp e, atualmente, é um dos principais meios de se aplicar golpes online [...] Os golpes que já estão acontecendo vão continuar e de forma ainda mais fácil, já que não vai ter uma ligação direta com o banco, sendo ainda mais difícil de rastreabilidade que o banco normalmente tem. São várias temáticas utilizadas para pedir esse código e senhas. Os mais recentes são com temas do auxílio emergencial e vacina”, explica.
Problema estrutural
Fabio Assolini, analista de segurança sênior na Kaspersky, explica que o WhatsApp Pay foi desenvolvido com bastante preocupação com relação à segurança, com recursos de segurança que dificultam a ação de cibercriminosos. No entanto, o aplicativo carrega um problema estrutural.
“O meio de pagamento é P2P (ponto-a-ponto). Isso é bom, pois as transferências são feitas de um usuário ao outro e o valor é creditado diretamente na conta bancária. Não existe um saldo carteira digital”, diz Assolini.
"É necessário uma autenticação (feita através de um código enviado por e-mail ou SMS) da instituição financeira emissora do cartão de débito quando se adiciona o método de pagamento ao recurso do WhatsApp. Existe também a configuração de um PIN numérico ou biométrico, que deve ser informado no ato do pagamento”, completa Assolini, sobre os recursos de segurança do WhatsApp Pay.
Segundo Assolini, o problema estrutural do WhatsApp, que deve ser considerado ao utilizar o WhatsApp Pay, é que os usuários são identificados apenas por um número de telefone. Não há um nome de usuário e senha, como há no Telegram, por exemplo. Além disso, o WhatsApp não vem com autenticação multifator configurada de fábrica e quando é configurada pelo usuário, não há opção de escolher outro meio para receber o código de confirmação, somente por SMS, que não é uma opção segura.
“A fraude mais comum envolvendo o WhatsApp é o “account takeover” – roubo de conta onde os golpistas usam a engenharia social (lábia) para convencer a vítima a informar o código OTP recebido por SMS para autenticar a instalação da conta em um novo aparelho. O envio de OTPs via SMS não é recomendado, pois, se trata de um meio inseguro de comunicação. Após ter acesso à conta roubada, eles enviam mensagens para parentes e amigos da vítima, pedindo dinheiro ou simulando situações de emergência”, explica.
Outro meio utilizado por cibercriminosos para roubar contas do WhatsApp é através de ataques de SIM Swap, onde é utilizado engenharia social para clonar o chip telefônico da vítima. Com acesso à linha telefônica de uma vítima, os cibercriminosos podem acessar o SMS de confirmação do WhatsApp e assumir controle da conta.
Para evitar que cibercriminosos acessem o WhatsApp Pay através de golpes de SIM Swap e account takeover, o recurso é desativado no momento em que a conta é ativada em outro aparelho. Ou seja, os dados de pagamentos não migram de um dispositivo para outro. Então, caso um criminoso clone o WhatsApp de uma vítima, ele não terá acesso às informações bancárias, também não terá como fazer transferências, informa Assolini.
Posicionamento oficial
A The Hack entrou em contato com o WhatsApp Brasil, que informou que sua equipe trabalha diariamente para conter abusos no aplicativo, como o banimento de contas que viola os termos de serviço e que fazem disparos de mensagens em massa. Além disso, que oferece mecanismos de segurança como autenticação de dois fatores por SMS e outros.
“Recentemente, o WhatsApp anunciou uma medida de segurança adicional para usuários do WhatsApp Web e desktop. Para vincular sua conta do WhatsApp no navegador ou no aplicativo para computador, agora será solicitado o desbloqueio biométrico (com reconhecimento facial ou impressão digital), antes da leitura do código QR. A novidade diminui a chance de uma pessoa vincular o computador à sua conta do WhatsApp, mesmo se essa pessoa estiver com seu celular por um curto período de tempo”, escreveu um porta-voz da empresa à The Hack, por e-mail.
“Reforçando o compromisso do WhatsApp com a segurança de seus usuários, a empresa lançou em março uma campanha de conscientização para ajudar as pessoas a se protegerem de golpes no aplicativo. O intuito da campanha foi proteger a experiência do usuário no WhatsApp, encorajando a adoção de medidas de segurança gerais e reforçando as opções de proteção oferecidas pelo próprio aplicativo. Foram desenvolvidas peças com uma linguagem simples, objetiva e acessível, que foram veiculadas em jornais impressos, redes sociais e programas de TV aberta, além de dicas reforçadas por influenciadores digitais”, concluiu.
Como se proteger
Mesmo desenvolvido com ferramentas de segurança, o WhatsApp ainda utiliza número de telefone para autenticação do serviço, já que isso identifica o usuário e se mostrou uma opção pouco segura. “O WhatsApp precisa mudar a forma de autenticação do serviço, oferecendo outras opções de cadastro/acesso que não seja baseado no número de telefone”, diz Assolini.
Já nos, usuários, devemos nos preocupar, principalmente, em ativar a autenticação de dois fatores (mesmo que por SMS), além de adicionar um e-mail à conta do WhatsApp e ativar PIN numérico para reduzir as chances de fraude bem sucedidas.
Além disso, Schultze recomenda que os usuários do serviço prestem bastante atenção em contatos de estranhos, com olhar crítico para identificar golpes, nunca enviar códigos que recebemos por SMS, nunca revelar informações pessoais, não clicar em links que peçam informações pessoais e atenção as histórias de conhecidos pedindo dinheiro.
Fontes: WhatsApp; Banco Central; G1.