recomendações para o uso seguro do whatsapp
TRANSCRIPT
RecomendaçõesparaousosegurodoWhatsApp
DEPARTAMENTO DE INFORMÁTICA E TELECOMUNICAÇÕES UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Departamento de Informática e Telecomunicações
Autilização DoWhatsAppnoBrasil
OWhatsApp é um aplicativoque está instalado nosmartphone de 99% dosbrasileiros, e 93% usam oaplicativo todos os dias. Umapesquisa sobre mensageriamóvelnoBrasiltambémrevelaque o Telegram chega a 27%dos celulares no País,dobrandoapresençanoúltimoano,nãoéexagerodizerqueoWhatsAppse tornouessencialparaavidademuitaspessoas.
No entanto, alguns criminosos se aproveitam dessa“dependência” e do desconhecimento da maioria dapopulaçãoe comgolpesmuitobemarquitetados roubamdinheiro, informações e praticam crimes por meio doWhatsApp.
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Diante deste cenário oDepartamentode Informática etelecomunicações (DEINTEL)através da Unidade deServidores e Segurança daInformação(USSI)desenvolveuessacartilhainformativa,comoobjetivo de proporcionar oesclarecimento necessário paraqueosusuários(serventuáriosemagistrados) desse aplicativode mensagem instantâneaconsigam identificar e seprotegerdasprincipais fraudespraticadas.
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Departamento de Informática e Telecomunicações
Osgolpes doWhatsAppnoBrasil
Sua alta popularidade aliada ao nível dedesinformaçãodamaioriadaspessoas,põeoWhatsApp e seus usuários como um dosprincipaisalvosparaataquescriminososdosmaisvariadostipos.
RoubodoWhatsApp(CódigoSMS)
Falsificaçãodeidentidade
Golpedocrédito
Listamos acima os três principais golpes hojepraticadosnoBrasil.
Leiaessacartilhaatéofinalesaibacomoessesgolpesfuncionamequaisasprincipaisaçõesparaevita-los.
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Departamento de Informática e Telecomunicações
Golpedocrédito
Essegolpeconsisteemenviodemensagensemmassapara diversas vítimas, se passando por agentesfinanceiros anunciando créditos pré-aprovados embancos ou fintechs. Os criminosos com propostastentadoras de altos rendimentos, juros baixos econdiçõesespeciaisconseguemfacilmenteenganarasvítimas.Masparateroacessoaessasvantagensénecessárioantecipar o pagamento de taxas. Entretanto, apóspagas,avítimajamaisreceberátaisbenefícios.
Sempre desconfie de propostas irrecusáveiscombenefíciosespetaculares,não transfiraoupaguenenhumvalorantecipado.Desconfie de mensagens com prêmios erecompensasquevocênãotenhaconhecimento,ouquenãotenhasecadastradopreviamente.
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Falsificaçãode
identidade Nessegolpeocriminososepassa
porumdeseuscontatosesolicitaque
você realize uma transferência
bancária (TED/DOC) a um outro
favorecido.
Ocriminosoutilizaoutrosnúmeros
detelefoneetentaconvenceravítimade
que perdeu ou roubaram seu aparelho
celularenecessitaurgentementedetal
transferência e que lhe reembolsará o
maisrápidopossível.
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Como ogolpefunciona?
Através de váriosmecanismos e consultas as redes sociais o
criminosoconsegueoscontatosdoalvoesuafotodeperfildo
WhatsApp,ououtrafotoqualquerquepossaserusadaparao
mesmofim.
De posse dessas informações ele começa a enviar
mensagens para os contatos adquiridos, informando que ele
estáprovisoriamentecomaquelenúmeroesolicitandoqueseja
realizandoumatransferênciabancáriadandoalgumadesculpa
justificandooporquêelepróprionãorealizá-la.
O fato dos números de telefone de todos osmembros de um determinado grupo doWhatsApp seruma informação pública entre os participantes, é umamaneiradocriminosoconseguiroscontatosdoalvo,ouseja,possíveisvítimas;logo,bastaelepertenceraumoumaisgruposemcomum,poisaprobabilidadedealgummembro deste grupo constar na lista de contatos davítimaébastanteelevada.
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Como seproteger?
Feche suas redes sociais para pessoasdesconhecidas
Sempre que possível configure suas redes sociaiscomobloqueadasparapessoasdesconhecidas. IssoeliminaemgrandeparteapossibilidadedecoletadeinformaçõesquepossamserutilizadasemumgolpepeloWhatsApp.
PermitaqueapenasseuscontatosvisualizemsuafotodeperfildoWhatsApp
Configure seu aplicativo do WhatsApp para quesomenteseuscontatospossamvisualizarsuafotodoperfil, isso impedequeocriminososaibaqual fotovocê está usando, podendo assim utiliza-la emalgumafraudesepassandoporvocê.
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
ComoConfigurar NoAndroid
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
ComoConfigurar NoIphone
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Nessa modalidade de ataque, o criminoso não tem acesso a conta do WhatsApp do usuário forjado, ou seja, não tem acesso aos seus contatos nem suas conversas.
A vítima é a pessoa a quem se destina a mensagem, o usuário com o WhatsApp falsificado é apenas o mecanismo para a conclusão da fraude.
Desconfie de mensagens solicitando transferências bancárias ou pagamento de algum boleto, mesmo sendo de seus contatos. Sempre que puder ligue e confirme.
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
RoubodoWhatsApp(CódigoSMS)
Essegolpeéomaiscomumeomaisnocivosecomparado
aosdemais,porestemotivoeleestáemprimeirolugarno
rankingdasfraudespraticadaspeloWhatsApp.
Nessetipodeataqueocriminosoconsegueacessoaconta
doWhatsAppdavítima,podendoemdeterminadoscasos
teracessoaalgunsdeseuscontatos.
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
O processo de configuração de qualquer
dispositivoparaacessaroWhatsApppassa
por uma fase de verificação do número de
telefonedousuário.
No momento da configuração, o usuário
informaaoaplicativoqualoseunúmerode
telefone. Para confirmar essa informação o
aplicativo envia uma SMS para o número
cadastradocomumcódigodeverificação.
Esse código recebido deve depois ser
inseridonoaplicativo,sendoachaveparaa
validaçãodonúmerodetelefoneinformado
nomomentodaconfiguração.
Como ogolpefunciona?
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Como ogolpefunciona?
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
A possibilidade da utilização da conta do
WhatsAppindependentedodispositivoedo
númerodetelefone,utilizando-seapenasde
umcódigoSMSparaessavalidaçãoéofator
preponderanteparaosucessodogolpe.
Então através de engenharia social
(habilidade de obter informações
confidenciais utilizando técnicas de
persuasão)ocriminososolicitaavítimaque
informeocódigoSMSqueacaboudereceber.
DepoisdereceberocódigoSMSocriminoso
seapoderadacontadoWhatsAppdavítima.
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Departamento de Informática e Telecomunicações
Como ogolpefunciona?
Oscriminososcriamosmaisdiversos
mecanismos para obter o código de
validaçãoSMS, incorporandodiversos
personagens, em diversas situações,
fazendo com que o usuário acredite
que o fornecimento daquele código é
necessário para alguma providência
relacionadaàsituaçãoforjada.
O criminoso entra em contato com a vítima e informa que é do
ministérioousecretariadasaúde,avisandoqueestáfazendouma
pesquisarelacionadaaocovid-19,epedequeousuárioinformeum
códigoqueeleenviaráporSMSparavalidarseestáfalandocoma
pessoacerta. UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Departamento de Informática e Telecomunicações
Como ogolpefunciona?
AoperceberumanúnciodoOLX,ocriminosoentraemcontatocom
avítimaesepassandoporumatendentedoaplicativo,informando
que precisará validar o anúncio na plataforma e para isso será
necessárioinformarumcódigoSMSqueseráenviado.
ATENÇÃO Para a conclusão dessa fraude é necessária uma ação sua, é VOCÊ que envia o código SMS para o criminoso.
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Departamento de Informática e Telecomunicações
Assimqueogolpeéaplicado,avítimarecebeuma
mensagemdoaplicativoinformandoquesuaconta
do WhatsApp está sendo executando em outro
dispositivo.
Quando o golpe é aplicado o criminoso habilita a
verificação em duas etapas, que impossibilita a
vítima de reaver sua conta do WhatsApp em seu
dispositivo.
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Departamento de Informática e Telecomunicações
Mesmoquandoogolpeéconcluídoocriminosonão
conseguirá ter acesso as conversas antigas, ainda
que o usuário tenha configurado para realizar o
backupdasconversasemseudispositivo.
Aefetivaçãodogolpenãodaráaocriminosoacesso
a listadecontatosdocelulardavítima,porémele
teráacessoaoscontatosqueestejamempossíveis
listasdetransmissõesqueavítimaeventualmente
tenhacriado.
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Departamento de Informática e Telecomunicações
JAMAIS repasse números ou códigos SMSenviadosparaoseudispositivo. OscódigosSMSenviadosparaseudispositivodevemserúnicaeexclusivamenteutilizadosemseupróprioaparelho,paraavalidaçãodealgumaplicativo.NÃOinforme qualquer código SMS sob nenhumahipótese, se solicitado por alguém via ligação ouqualqueraplicativo.
Habilite a autenticação em duas etapas doWhatsAppemseudispositivo. O WhatsApp permite criar um segundo fator devalidação, um código PIN criado pelo usuário, queseráexigidosemprequeumacontaforvinculadaaoutro dispositivo, aumentando ainda mais asegurança e consequentemente dificultando asaçõesdoscriminosos.
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Departamento de Informática e Telecomunicações
Como seproteger?
Verificaçãoemduasetapas Habilitar
Como Configurar Android
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Departamento de Informática e Telecomunicações
Como Configurar iOS
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Verificaçãoemduasetapas Habilitar
Jamais Informe a terceiros senhas e códigos SMS enviados a seu dispositivo, e sempre desconfie de contatos que, através números desconhecidos, solicitem transferências em dinheiro a outros favorecidos .
Nessa modalidade de ataque, o criminoso não tem acesso a conta do WhatsApp da vítima, ou seja, pode ter acesso a alguns de seus contatos, mas não de suas conversas anteriores.
A vítima é tanto a pessoa a quem se destina a mensagem, quanto o usuário com a conta do WhatsApp roubada.
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Caso você tenha sua conta do WhatsApp roubada, você pode desativa-la solicitando via e-mail para o endereço [email protected] contendo no assunto: “Conta capturada por fraude. Bloqueioimediato”.No corpo do e-mail é necessário informar o motivo da solicitação do bloqueio (PERDA/ROUBO), seu nome e o número a qual sua conta estava vinculada, ou seja: +55 (XX) XXXXX-XXXX. (Padrão internacional).
Não esqueça de informar a todos os seus contatos sobre o ocorrido, eles podem está sendo vítimas de fraudes partindo de sua conta do WhatsApp roubada.
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
WhatsAppweb
PermiteumusuárioseconectaraoWhatsApp
atravésdeumnavegadorweb,possibilitando
agilizar sua utilização através de um
computador ou notebook ligado na internet
juntamentecomseucelular.
A segurança por trás dessa modalidade de
acessoéaobrigatoriedadedousuárioscanear
com seu dispositivo um QRCODE que lhe é
apresentadonomomentodoacesso.
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Semprefiqueatentoaonúmerodeconexõesativas
desuacontaatravésdoWhatsAppWeb.
Evite utilizar sua conta através doWhatsAppweb
em computadores públicos ou de utilização
compartilhada.
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Mantenha sempre o aplicativo do WhatsApp
atualizado;
UtilizaraVerificaçãoemduasetapas;
Eviteutilizar conexões coma internetpúblicasou
compartilhadas;
Utilizeapenasalojaoficialdeseusmartphonepara
ainstalaçãodeaplicativos(PlayStore/AppleStore);
Eviteparticiparde gruposdeWhatsApp suspeitos
oucommuitaspessoasdesconhecidas;
Nãoabraouexecutearquivosoulinkssuspeitos;
Departamento de Informática e Telecomunicações
UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO
Departamento de Informática e Telecomunicações
Departamento de Informática e Telecomunicações Diretor: Marco Antônio Campos Soares Craveiro E-mail: [email protected]
Divisão de Telemática Diretor: Jonas Gil da Silva E-mail: [email protected]
Unidade de Servidores e Segurança da Informação Bruno Willian Silva Lima Edna Karla Silva Melo Francisco Boa Barbosa Júnior Leandro Ferreira de Oliveira Bezerra Marcelo de Souza Mendonça Marcos Roberto Fonseca Magalhães E-mail: [email protected]
O risco compromete a existência.
Pratique segurança
REFERÊNCIAS
• https://mpdft.mp.br/portal/pdf/imprensa/cartilhas/cartilha_sugestoes_
uso_seguro_whatsapp_mpdft.pdf
• https://faq.whatsapp.com/general/security-and-privacy/
• https://www.forbes.com/sites/zakdoffman/2020/05/29/new-
whatsapp-warning-as-malicious-hack-returns-heres-what-you-
must-do-now/#2b781b10166a
• https://www.bbc.com/portuguese/geral-50294962