No WhatsApp há uma verdadeira escala quando falamos de golpes que podem ser aplicados na plataforma. Há aquelas trapaças mais esdruxulas, como aquelas milhares de mensagens repassadas via grupo, com promoções boas demais para serem verdades, sempre acompanhadas de um link, um caso clássico de phishing. Temos também coisas mais engenhosas, como o SIM Swap, que acaba se beneficiando do método de autenticação do aplicativo de envio do código por SMS, clonando contas de usuários que não utilizam verificação em duas etapas, e há um terceiro método que muitos ainda desconhecem, o QRLjacking, o sequestro de contas via QR Code. Este é o tema deste artigo.
Em 2016 um hacker ético chamado Mohamed Abd Elbaset demonstrou uma forma de acessar a uma conta do WhatsApp, em sua versão web, empegando uma variação de um QR Code com uma URL modificada. O ataque funciona com o mesmo fundamento empregado para acessar a versão web do mensageiro. Caso você já tenha realizado o acesso sabe que é necessário acessar a versão mobile do WhatsApp, via aplicativo, clicar nos três pontinhos no canto superior direito da tela e em seguida em WhatsApp web. Entrará em ação o leitor de QR Code integrado ao app. Agora você tem que ir até a página do WhatsApp web e fazer escanear o QR Code gerado para a sua sessão vi navegador do mensageiro seja iniciada.
No caso do golpe QRLjacking, ou Quick Response Code Login Jacking, quando a vítima escaneia o QR Code gerado pelo atacante, o token de autenticação é enviado diretamente para o servidor associado e quem mandou o código malicioso, dando livre acesso a sua conta do WhatsApp, sem nenhuma interferência na sua conta na versão móvel do App, o que significa que suas novas mensagens e envio de imagens ou vídeos, por exemplo, serão visualizados pelo cibercriminoso que sequestrou sua conta com este QR Code modificado.
As etapas do processo de envio do código malicioso ao usuário até a invasão é o seguinte:
- A primeira etapa passa pelo envio do QR Code e a tentativa de convencer o usuário a digitalizar este código adulterado. Há inúmeras maneiras de conseguir que a vítima em potencial faça esse scan, como o caso clássico de um e-mail que passa uma mensagem falsa em relação a alguma promoção ou benefício que ele terá, adotando como pré-requisito a necessidade do scan do QR Code. Táticas de engenharia social.
- Caso a vítima caia no golpe irá escanear o código. A partir deste ponto o atacante ganha acesso a versão web do seu WatsApp
- O cibercriminoso irá receber todas as mensagens, tanto em texto quanto em conteúdo multimídia, que a vítima trocar com seus contatos.
É bom frisar que essa possibilidade de ataque não está restrita ao WhatsApp, qualquer serviço que permita tal interação com QR Code pode passar pelo mesmo tipo de problema. Atualmente, mais de 23% de trojans e outros tipos de vírus são transmitidos via QR Code. A pagina do hacker Mohamed Abd Elbaset no Github mostra uma lista de serviços que são vulneráveis ao QRLjacking. Além do WhatsApp, tem WeChat, Line, Weibo, Alibaba, Aliexpress, entre outros.
https://www.youtube.com/watch?v=JCoPSdQvESc&feature=emb_title
Como identificar se você foi uma vítima do QRLjacking?
Este método de ataque é bem silencioso, isto é, o cibercriminoso pode estar acessando sua conta e você nem perceber, já que sua versão móvel do WhatsApp continuará funcionando normalmente, assim como acontece quando você realiza uma sessão legítima de aceso à versão web. Tanto o modo desktop quanto o app funcionam normalmente.
A forma mais básica de identificar se você foi uma vítima do QRLjacking é fazer uma solicitação de login na versão web do WhatsApp pelo seu smartphone (abra o aplicativo do WhatsApp, clique nos três pontinhos no canto superior direito e em seguida em WhatsApp web). Caso alguma sessão já esteja ativa do serviço -e não foi você que a realizou, é bem provável que a sua conta está sendo espionada pelo modo web do aplicativo. A recomendação é nesse caso é encerrar imediatamente essas sessões que estão ativas. Para isso, clique em cada um delas e em seguida em sair.
Dicas de prevenção ao QRLjacking
A empresa de segurança ESET publicou em seu site uma lista de dicas de prevenção para esse modo de ataque, confira abaixo:
• Conheça o aplicativo que está usando
No caso do WhatsApp o recurso de escaneamento de QR code serve única e exclusivamente para permitir que os usuários utilizem o aplicativo em seus computadores, nada além. Se algum banner de publicidade aparecer, independente de qual site seja, pedindo para que um código QR seja escaneando para que algum benefício seja dado ou alguma validação seja feita, não acredite, isto é parte de um ataque. Caso um recurso similar a esse fosse de fato verdade ele seria amplamente divulgado pelo WhatsApp em suas mídias oficiais.
• Evite redes púbicas ou pouco confiáveis
Esse e diversos outros tipos de ataques acontecem quando o criminoso está na mesma rede de suas vítimas, sendo assim, evite usar recursos que não sejam extremamente necessários para você no momento em que precisa utilizar uma rede insegura.
• Fique atento a sua navegação mesmo estando em redes segura
Como em casa ou no trabalho. Infelizmente criminosos podem ser literalmente qualquer pessoa, não é possível saber quão próximo eles nós estamos. Manter a atenção mesmo estando em redes consideraras seguras é uma ótima prática que evita diversos tipos de ataques.
• Ataques desse tipo costumam não gerar nenhum tipo de retorno para o usuário
Caso escaneie um código e não receba nenhum retorno muito provavelmente se trata de um ataque (como no caso de alguma proganda falsa que exige o scan de um QR Code). Em caso de dúvidas, na janela principal do WhatsApp vá em WhatsApp Web e saia de todas as sessões que foram iniciadas. Isso fará com que os criminosos percam acesso ao WhatsApp de suas vítimas imediatamente.
• Mantenha todos os softwares de segurança ativados e configurados para bloquear ameaças
Tanto em seu smartphone quanto em seu computador.
• Faça atualização constante de todos os softwares e aplicativos
Atualizações trazem novos recursos e corrigem eventuais problemas de segurança que os softwares possam ter.
Você também deve ler!
Warsaw, o módulo de segurança bancário que continua importunando os usuários
8 coisas que você deve saber sobre o spyware
Proteja sua conta! Como ativar a verificação em duas etapas no WhatsApp
Deixe seu comentário