recomendações para o uso seguro do whatsapp

RecomendaçõesparaousosegurodoWhatsApp

DEPARTAMENTO DE INFORMÁTICA E TELECOMUNICAÇÕES UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Departamento de Informática e Telecomunicações

Autilização DoWhatsAppnoBrasil

OWhatsApp é um aplicativoque está instalado nosmartphone de 99% dosbrasileiros, e 93% usam oaplicativo todos os dias. Umapesquisa sobre mensageriamóvelnoBrasiltambémrevelaque o Telegram chega a 27%dos celulares no País,dobrandoapresençanoúltimoano,nãoéexagerodizerqueoWhatsAppse tornouessencialparaavidademuitaspessoas.

No entanto, alguns criminosos se aproveitam dessa“dependência” e do desconhecimento da maioria dapopulaçãoe comgolpesmuitobemarquitetados roubamdinheiro, informações e praticam crimes por meio doWhatsApp.

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Diante deste cenário oDepartamentode Informática etelecomunicações (DEINTEL)através da Unidade deServidores e Segurança daInformação(USSI)desenvolveuessacartilhainformativa,comoobjetivo de proporcionar oesclarecimento necessário paraqueosusuários(serventuáriosemagistrados) desse aplicativode mensagem instantâneaconsigam identificar e seprotegerdasprincipais fraudespraticadas.

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Departamento de Informática e Telecomunicações

Osgolpes doWhatsAppnoBrasil

Sua alta popularidade aliada ao nível dedesinformaçãodamaioriadaspessoas,põeoWhatsApp e seus usuários como um dosprincipaisalvosparaataquescriminososdosmaisvariadostipos.

RoubodoWhatsApp(CódigoSMS)

Falsificaçãodeidentidade

Golpedocrédito

Listamos acima os três principais golpes hojepraticadosnoBrasil.

Leiaessacartilhaatéofinalesaibacomoessesgolpesfuncionamequaisasprincipaisaçõesparaevita-los.

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Departamento de Informática e Telecomunicações

Golpedocrédito

Essegolpeconsisteemenviodemensagensemmassapara diversas vítimas, se passando por agentesfinanceiros anunciando créditos pré-aprovados embancos ou fintechs. Os criminosos com propostastentadoras de altos rendimentos, juros baixos econdiçõesespeciaisconseguemfacilmenteenganarasvítimas.Masparateroacessoaessasvantagensénecessárioantecipar o pagamento de taxas. Entretanto, apóspagas,avítimajamaisreceberátaisbenefícios.

Sempre desconfie de propostas irrecusáveiscombenefíciosespetaculares,não transfiraoupaguenenhumvalorantecipado.Desconfie de mensagens com prêmios erecompensasquevocênãotenhaconhecimento,ouquenãotenhasecadastradopreviamente.

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Falsificaçãode

identidade Nessegolpeocriminososepassa

porumdeseuscontatosesolicitaque

você realize uma transferência

bancária (TED/DOC) a um outro

favorecido.

Ocriminosoutilizaoutrosnúmeros

detelefoneetentaconvenceravítimade

que perdeu ou roubaram seu aparelho

celularenecessitaurgentementedetal

transferência e que lhe reembolsará o

maisrápidopossível.

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Como ogolpefunciona?

Através de váriosmecanismos e consultas as redes sociais o

criminosoconsegueoscontatosdoalvoesuafotodeperfildo

WhatsApp,ououtrafotoqualquerquepossaserusadaparao

mesmofim.

De posse dessas informações ele começa a enviar

mensagens para os contatos adquiridos, informando que ele

estáprovisoriamentecomaquelenúmeroesolicitandoqueseja

realizandoumatransferênciabancáriadandoalgumadesculpa

justificandooporquêelepróprionãorealizá-la.

O fato dos números de telefone de todos osmembros de um determinado grupo doWhatsApp seruma informação pública entre os participantes, é umamaneiradocriminosoconseguiroscontatosdoalvo,ouseja,possíveisvítimas;logo,bastaelepertenceraumoumaisgruposemcomum,poisaprobabilidadedealgummembro deste grupo constar na lista de contatos davítimaébastanteelevada.

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Como seproteger?

Feche suas redes sociais para pessoasdesconhecidas

Sempre que possível configure suas redes sociaiscomobloqueadasparapessoasdesconhecidas. IssoeliminaemgrandeparteapossibilidadedecoletadeinformaçõesquepossamserutilizadasemumgolpepeloWhatsApp.

PermitaqueapenasseuscontatosvisualizemsuafotodeperfildoWhatsApp

Configure seu aplicativo do WhatsApp para quesomenteseuscontatospossamvisualizarsuafotodoperfil, isso impedequeocriminososaibaqual fotovocê está usando, podendo assim utiliza-la emalgumafraudesepassandoporvocê.

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

ComoConfigurar NoAndroid

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

ComoConfigurar NoIphone

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Nessa modalidade de ataque, o criminoso não tem acesso a conta do WhatsApp do usuário forjado, ou seja, não tem acesso aos seus contatos nem suas conversas.

A vítima é a pessoa a quem se destina a mensagem, o usuário com o WhatsApp falsificado é apenas o mecanismo para a conclusão da fraude.

Desconfie de mensagens solicitando transferências bancárias ou pagamento de algum boleto, mesmo sendo de seus contatos. Sempre que puder ligue e confirme.

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

RoubodoWhatsApp(CódigoSMS)

Essegolpeéomaiscomumeomaisnocivosecomparado

aosdemais,porestemotivoeleestáemprimeirolugarno

rankingdasfraudespraticadaspeloWhatsApp.

Nessetipodeataqueocriminosoconsegueacessoaconta

doWhatsAppdavítima,podendoemdeterminadoscasos

teracessoaalgunsdeseuscontatos.

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

O processo de configuração de qualquer

dispositivoparaacessaroWhatsApppassa

por uma fase de verificação do número de

telefonedousuário.

No momento da configuração, o usuário

informaaoaplicativoqualoseunúmerode

telefone. Para confirmar essa informação o

aplicativo envia uma SMS para o número

cadastradocomumcódigodeverificação.

Esse código recebido deve depois ser

inseridonoaplicativo,sendoachaveparaa

validaçãodonúmerodetelefoneinformado

nomomentodaconfiguração.

Como ogolpefunciona?

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Como ogolpefunciona?

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

A possibilidade da utilização da conta do

WhatsAppindependentedodispositivoedo

númerodetelefone,utilizando-seapenasde

umcódigoSMSparaessavalidaçãoéofator

preponderanteparaosucessodogolpe.

Então através de engenharia social

(habilidade de obter informações

confidenciais utilizando técnicas de

persuasão)ocriminososolicitaavítimaque

informeocódigoSMSqueacaboudereceber.

DepoisdereceberocódigoSMSocriminoso

seapoderadacontadoWhatsAppdavítima.

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Departamento de Informática e Telecomunicações

Como ogolpefunciona?

Oscriminososcriamosmaisdiversos

mecanismos para obter o código de

validaçãoSMS, incorporandodiversos

personagens, em diversas situações,

fazendo com que o usuário acredite

que o fornecimento daquele código é

necessário para alguma providência

relacionadaàsituaçãoforjada.

O criminoso entra em contato com a vítima e informa que é do

ministérioousecretariadasaúde,avisandoqueestáfazendouma

pesquisarelacionadaaocovid-19,epedequeousuárioinformeum

códigoqueeleenviaráporSMSparavalidarseestáfalandocoma

pessoacerta. UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Departamento de Informática e Telecomunicações

Como ogolpefunciona?

AoperceberumanúnciodoOLX,ocriminosoentraemcontatocom

avítimaesepassandoporumatendentedoaplicativo,informando

que precisará validar o anúncio na plataforma e para isso será

necessárioinformarumcódigoSMSqueseráenviado.

ATENÇÃO Para a conclusão dessa fraude é necessária uma ação sua, é VOCÊ que envia o código SMS para o criminoso.

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Departamento de Informática e Telecomunicações

Assimqueogolpeéaplicado,avítimarecebeuma

mensagemdoaplicativoinformandoquesuaconta

do WhatsApp está sendo executando em outro

dispositivo.

Quando o golpe é aplicado o criminoso habilita a

verificação em duas etapas, que impossibilita a

vítima de reaver sua conta do WhatsApp em seu

dispositivo.

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Departamento de Informática e Telecomunicações

Mesmoquandoogolpeéconcluídoocriminosonão

conseguirá ter acesso as conversas antigas, ainda

que o usuário tenha configurado para realizar o

backupdasconversasemseudispositivo.

Aefetivaçãodogolpenãodaráaocriminosoacesso

a listadecontatosdocelulardavítima,porémele

teráacessoaoscontatosqueestejamempossíveis

listasdetransmissõesqueavítimaeventualmente

tenhacriado.

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Departamento de Informática e Telecomunicações

JAMAIS repasse números ou códigos SMSenviadosparaoseudispositivo. OscódigosSMSenviadosparaseudispositivodevemserúnicaeexclusivamenteutilizadosemseupróprioaparelho,paraavalidaçãodealgumaplicativo.NÃOinforme qualquer código SMS sob nenhumahipótese, se solicitado por alguém via ligação ouqualqueraplicativo.

Habilite a autenticação em duas etapas doWhatsAppemseudispositivo. O WhatsApp permite criar um segundo fator devalidação, um código PIN criado pelo usuário, queseráexigidosemprequeumacontaforvinculadaaoutro dispositivo, aumentando ainda mais asegurança e consequentemente dificultando asaçõesdoscriminosos.

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Departamento de Informática e Telecomunicações

Como seproteger?

Verificaçãoemduasetapas Habilitar

Como Configurar Android

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Departamento de Informática e Telecomunicações

Como Configurar iOS

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Verificaçãoemduasetapas Habilitar

Jamais Informe a terceiros senhas e códigos SMS enviados a seu dispositivo, e sempre desconfie de contatos que, através números desconhecidos, solicitem transferências em dinheiro a outros favorecidos .

Nessa modalidade de ataque, o criminoso não tem acesso a conta do WhatsApp da vítima, ou seja, pode ter acesso a alguns de seus contatos, mas não de suas conversas anteriores.

A vítima é tanto a pessoa a quem se destina a mensagem, quanto o usuário com a conta do WhatsApp roubada.

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Caso você tenha sua conta do WhatsApp roubada, você pode desativa-la solicitando via e-mail para o endereço support@whatsapp.com contendo no assunto: “Conta capturada por fraude. Bloqueioimediato”.No corpo do e-mail é necessário informar o motivo da solicitação do bloqueio (PERDA/ROUBO), seu nome e o número a qual sua conta estava vinculada, ou seja: +55 (XX) XXXXX-XXXX. (Padrão internacional).

Não esqueça de informar a todos os seus contatos sobre o ocorrido, eles podem está sendo vítimas de fraudes partindo de sua conta do WhatsApp roubada.

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

WhatsAppweb

PermiteumusuárioseconectaraoWhatsApp

atravésdeumnavegadorweb,possibilitando

agilizar sua utilização através de um

computador ou notebook ligado na internet

juntamentecomseucelular.

A segurança por trás dessa modalidade de

acessoéaobrigatoriedadedousuárioscanear

com seu dispositivo um QRCODE que lhe é

apresentadonomomentodoacesso.

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Semprefiqueatentoaonúmerodeconexõesativas

desuacontaatravésdoWhatsAppWeb.

Evite utilizar sua conta através doWhatsAppweb

em computadores públicos ou de utilização

compartilhada.

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Mantenha sempre o aplicativo do WhatsApp

atualizado;

UtilizaraVerificaçãoemduasetapas;

Eviteutilizar conexões coma internetpúblicasou

compartilhadas;

Utilizeapenasalojaoficialdeseusmartphonepara

ainstalaçãodeaplicativos(PlayStore/AppleStore);

Eviteparticiparde gruposdeWhatsApp suspeitos

oucommuitaspessoasdesconhecidas;

Nãoabraouexecutearquivosoulinkssuspeitos;

Departamento de Informática e Telecomunicações

UNIDADE DE SERVIDORES E SEGURANÇA DA INFORMAÇÃO

Departamento de Informática e Telecomunicações

Departamento de Informática e Telecomunicações Diretor: Marco Antônio Campos Soares Craveiro E-mail: marco.craveiro@tjap.jus.br

Divisão de Telemática Diretor: Jonas Gil da Silva E-mail: jonas.silva@tjap.jus.br

Unidade de Servidores e Segurança da Informação Bruno Willian Silva Lima Edna Karla Silva Melo Francisco Boa Barbosa Júnior Leandro Ferreira de Oliveira Bezerra Marcelo de Souza Mendonça Marcos Roberto Fonseca Magalhães E-mail: ussi@tjap.jus.br

O risco compromete a existência.

Pratique segurança

REFERÊNCIAS

• https://mpdft.mp.br/portal/pdf/imprensa/cartilhas/cartilha_sugestoes_

uso_seguro_whatsapp_mpdft.pdf

• https://faq.whatsapp.com/general/security-and-privacy/

• https://www.forbes.com/sites/zakdoffman/2020/05/29/new-

whatsapp-warning-as-malicious-hack-returns-heres-what-you-

must-do-now/#2b781b10166a

• https://www.bbc.com/portuguese/geral-50294962