Informagno | Gestão em TI

Saiba como se proteger em transações via WhatsApp Pay

O WhatsApp Pay, que permite realizar pagamentos pelo aplicativo, está chamando bastante atenção: não há cobrança de taxas para enviar ou receber dinheiro, e as transações podem ser feitas usando cartão pré-pago, de débito ou múltiplo com a função débito. Analisamos a ferramenta e listamos as principais características de segurança da aplicação.

O primeiro ponto é que o app utiliza P2P (conhecido como ponto-a-ponto) como meio de pagamento. Desta forma, a transferência do dinheiro é feita de um usuário ao outro, sem deixar saldos disponíveis em um e-wallet ou em uma conta digital – métodos que poderiam ser alvo dos criminosos.

Outro dado positivo é a exigência de autenticação da instituição financeira quando o usuário adiciona um cartão de débito como método de pagamento. Feita com um código temporário, conhecido como OTP (one-time-password), a autenticação é enviada por e-mail ou SMS e é um passo obrigatório para completar o processo. Também é possível configurar um PIN numérico ou biométrico, que deve ser informado no ato do pagamento.

Outra medida de segurança adotada chama a atenção. Caso a conta WhatsApp seja instalada em um novo dispositivo, a migração da função de pagamento não é automática. Ou seja, é desativada da conta e exige o recadastramento das informações financeiras.

“Esta medida evita que os criminosos comprometam o cartão de débito da vítima, caso a conta seja roubada. Infelizmente este golpe, tecnicamente chamado de account takeover é o mais comum no Brasil e era a principal preocupação desde que rumores do lançamento do serviço por aqui surgiram”, afirma Fabio Assolini, analista de segurança da Kaspersky no Brasil.

Engenharia social

O especialista explica ainda que o golpe que rouba a conta do WhatsApp usa técnicas de engenharia social (lábia) para convencer a vítima a informar o código de instalação temporário (OTP), enviado por SMS quando uma instalação é iniciada. “Caso a vítima informe a sequência de seis números, os cibercriminosos conseguem concluir a ativação da conta no novo aparelho e passam a ter acesso às mensagens e contatos da pessoa. Eles aproveitam disso para entrar em contato com amigos e familiares e pedir dinheiro emprestado. Ter um método de transferência financeira na plataforma poderia potencializar esta prática. Felizmente, não identificamos em nossa análise uma maneira de explorar o WhatsApp Pay neste golpe”, explica Assolini.

Mesmo assim, existe um tipo de ataque que não há como se proteger ou mitigar: o SIM swap , na qual é possível roubar uma conta de WhatsApp ao transferir o número do telefone para um novo chip. Outra preocupação de quem decidir instalar o novo recurso de pagamento deve ter é com a proteção do dispositivo. “Há programas maliciosos que conseguem realizar transferências bancárias acessando remotamente o dispositivo da vítima. Basta uma atualização deste malware para que façam uma transação usando o app de mensagem. Mas aqui a maior responsabilidade de segurança está do lado da pessoa “, destaca o analista.

Dicas de segurança

• Reative sua conta do WhatsApp o mais rápido possível em caso de perda ou roubo do aparelho. O processo desativará o WhatsApp Pay no smartphone perdido ou roubado. Caso não faça o procedimento, o golpista terá a chance de cometer fraudes com a conta da vítima.

• Faça uso de um PIN numérico na autenticação dos pagamentos. Isso é feito com o sistema operacional do smartphone e usa a digital já cadastrada. Em caso de roubo do aparelho, especialmente em situações em que a tela não está bloqueada, um golpista pode cadastrar uma nova digital, possibilitando assim o acesso ao WhatsApp Pay e, consequentemente, o envio de dinheiro usando o cartão cadastrado.

• Tenha uma solução de segurança instalada no dispositivo que bloqueie remotamente o smartphone em caso de perda ou roubo, além de proteger o usuário contra golpes que acessam remotamente o aparelho, como os trojans como Ghimob e BRata, que podem realizar transações financeiras sem o conhecimento do proprietário.

• Ative os recursos de proteção do WhatsApp, principalmente a autenticação de dois fatores, para diminuir a chance de fraudes. Outros recursos importantes são a adição de um e-mail na conta do WhatsApp para evitar golpes via central de suporte, bem como ativar o bloqueio do app por meio de um PIN numérico. Essas ações ajudam a diminuir a chance de fraudes e ataques de roubo de contas.