Você usa o WhatsApp Web em redes Wi-Fi gratuitas — de shoppings ou públicas — e não se preocupa muito com o processo de login? Há com o que se preocupar, acredite: o roubo de WhatsApp. Conhecido como QRLJacking, mira qualquer aplicativo que usa QR Code como forma de login. Em especial, o WhatsApp. Uma vez “sequestrado”, o atacante tem acesso tudo: contatos, fotos e chats do WhatsApp, como se fosse você.

Quem já usou o WhatsApp no computador sabe que o processo é simples: basta acessar a opção “WhatsApp Web” e escanear um QR Code (ou Quick Response Code) na página que dá acesso ao mensageiro Web (web.whatsapp.com) e pronto; login feito.

O pesquisador da ESET, Daniel Barbosa, diz que é possível fazer validações adicionais para que o código QR possa ser usado de forma mais segura. Boa parte das vezes, porém, os fabricantes optam por novos recursos, mas deixam a segurança de lado.

Como acontece o QRLJacking

O sequestro do QR Code se torna possível porque é relativamente fácil se aproveitar dessa facilidade (que não é uma falha, mas um recurso legítimo do aplicativo) para convencer as vítimas a escanear o QR Code errado. Na maioria dos casos, trata-se de uma cópia mal feita, que não se parece nada com a página certa do WhatsApp Web. 

O que preocupa é que a ferramenta criada para gerar o QR Code falso pode ser adaptada para as necessidades de cada atacante. A plataforma abre uma página padrão apenas como exemplo, mas o código fonte está disponível para modificação, e aceita códigos HTML, scripts e diversos outros recursos para desenvolvimento web.

“Imagine que o atacante dedique um tempo para montar algo mais convincente, como um banner de publicidade, que oferece um ano de algum serviço inteiramente grátis, e que essa propaganda apareça quando a vítima navega por sites variados, parece bem mais convincente, não?”, indaga. O atacante convence o usuário que aquela é a página correta. Invadindo a rede, usando banners, manipulando o buscador padrão e etc.

Como o WhatsApp usa QR Code

O QR Code é uma imagem. Essa imagem, depois de interpretada pelo leitor de QR Code gera um conjunto de códigos. No caso do WhatsApp, o aplicativo usa o código para validar o acesso dos usuários ao seu sistema Web/Desktop, sem uma outra validação.

Como ocorre o roubo de WhatsApp

Os criminosos desenvolveram ferramentas que capturam e armazenam a imagem do código QR gerado pelo WhatsApp, e criam um novo QR Code para ser exibido à vítima.

“A olho nu não é possível diferenciar o código original do código forjado pelos atacantes. Após isso, a sessão da vítima fica armazenada no computador do criminoso e ele pode utilizá-la como bem entender, sem causar nenhum tipo de interrupção no uso do aplicativo no smartphone da vítima”, explica.

Como derrubar o acesso indevido no WhatsApp Web

Basta ter um comportamento seguro e se manter alerta. Na pressa, até usuários treinados podem cair em golpes de engenharia social. Acontece com todo mundo.

1. Conheça o aplicativo que está usando

No caso do WhatsApp e de outros mensageiros, o QR code serve apenas para acessar o WhatsApp Web. Se algum banner pedindo para que um código QR seja escaneando para que algum benefício seja dado, não acredite nisso. Conheça também detalhes do visual, cores, URL exata e como é a verdadeira página de login, para não ser enganado.

2. Evite redes púbicas ou pouco confiáveis 

Ataques como esses acontecem quando o criminoso está na mesma rede das vítimas. Evite recursos que demandam login ou manipulam dados pessoais em rede insegura.

3. Fique atento a sua navegação 

Mesmo em redes que acreditamos serem seguras, como no ambiente de trabalho, podem haver riscos. Mantenha-se alerta e observe as páginas que está acessando.

4. Sinais de QRLJacking e fim de sessão

Ataques desse tipo, em que há uso de QR Code falso, não costumam oferecer nenhum tipo de retorno para o usuário. Isto é, caso escaneie um código e não aconteça nada (tampouco o que foi prometido) provavelmente se trata de um ataque. Corra na tela principal do aplicativo do WhatsApp, vá em WhatsApp Web e encerre todas as sessões que foram iniciadas em computadores. Isso fará com que os criminosos percam acesso.

5. Mantenha tudo atualizado

O precavido morreu de velho. Usar um antivírus para Android no celular e no computador poder ajudar a bloquear ameaças, URLs maliciosas de QR Codes falsos e comportamento irregular no sistema operacional. Faça também a atualização constante de todos os softwares e aplicativos, isso corrige eventuais problemas de segurança.

Com informações: WeLiveSecurity

Esse conteúdo foi útil?
😄 Sim🙁 Não

Receba mais sobre WhatsApp na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Melissa Cruz Cossetti

Melissa Cruz Cossetti

Ex-editora

Melissa Cruz Cossetti é jornalista formada pela UERJ, professora de marketing digital e especialista em SEO. Em 2016 recebeu o prêmio de Segurança da Informação da ESET, em 2017 foi vencedora do prêmio Comunique-se de Tecnologia. No Tecnoblog, foi editora do TB Responde entre 2018 e 2021, orientando a produção de conteúdo e coordenando a equipe de analistas, autores e colaboradores.

Canal Exclusivo

Relacionados

O que são plataformas low code?
O que são plataformas low code?
Como colocar o WhatsApp no PC? Veja como baixar e instalar o app para desktop
Como colocar o WhatsApp no PC? Veja como baixar e instalar o app para desktop
Como ler QR Code no celular com Android
Como ler QR Code no celular com Android
Como criar um QR Code do Pix para receber pagamentos
Como criar um QR Code do Pix para receber pagamentos
Como usar WhatsApp em dois ou mais celulares com o mesmo número
Como usar WhatsApp em dois ou mais celulares com o mesmo número
O que é QR Code?
O que é QR Code?
Como gerar um QR Code para compartilhar a rede Wi-Fi
Como gerar um QR Code para compartilhar a rede Wi-Fi
Como entrar em contato com o suporte do WhatsApp
Como entrar em contato com o suporte do WhatsApp
Como ter duas contas do WhatsApp no mesmo celular Android com números diferentes
Como ter duas contas do WhatsApp no mesmo celular Android com números diferentes
Como baixar o WhatsApp em um PC com Windows 7
Como baixar o WhatsApp em um PC com Windows 7