WhatsApp Pay chegou… Mas e a segurança? Especialistas analisam novo recurso de pagamentos por WhatsApp

Views: 123
0 0
Read Time:5 Minute, 43 Second

WhatsApp Pay, serviço de pagamentos do aplicativo de mensagens instantâneas, WhatsApp, foi finalmente lançado para usuários no Brasil. Os pagamentos realizados pelo aplicativo utilizam tecnologia Facebook Pay e são processados pela Cielo.

Usuários dos bancos e instituições financeiras: Banco do Brasil, Inter, Bradesco, Itaú, Mercado Pago, Next, Nubank, Sicredi e Woop, agora podem associar suas contas ao aplicativo e realizar pagamentos. As transações são validadas por um PIN definido na configuração do serviço e pela biometria do smartphone (caso o dispositivo conte com essa tecnologia).

Exemplo de aplicação do WhstaApp Pay. Foto: WhatsApp.
Exemplo de aplicação do WhatsApp Pay. Foto: WhatsApp.

O recurso foi autorizado pelo Banco Central (BC) em março deste ano, considerado pela instituição como uma ferramenta benéfica para a população no geral. O serviço é gratuito. Mas, segundo BC, que é o órgão regulador da economia no país, o WhatsApp pode escolher quanto e como cobrar.

O Banco Central acredita que as autorizações concedidas poderão abrir novas perspectivas de redução de custos para os usuários de serviços de pagamentos“, disse um porta-voz em um comunicado à imprensa veiculado no dia da autorização.

Assim como qualquer nova tecnologia (como houve com o lançamento do PIX), o lançamento do WhatsApp Pay, gerou bastante dúvida e preocupação com relação à segurança desses pagamentos.

Para discutir os problemas de segurança e os possíveis golpes envolvendo o WhatsApp Pay, a The Hack convidou o analista de segurança sênior da Kaspersky, Fabio Assolini e o líder de threat intelligence da Axur, Eduardo Schultze. Confira!

Com o WhatsApp Pay é possível dividir contas pelo próprio WhatsApp. Foto: WhatsApp.
Com o WhatsApp Pay é possível dividir contas pelo próprio WhatsApp. Foto: WhatsApp.

Ataques envolvendo WhatsApp podem aumentar

Eduardo Schultze, líder de threat intelligence da Axur, explica que, os golpes e fraudes envolvendo o WhatsApp devem aumentar, principalmente agora por contar com uma ferramenta de fácil transferência de dinheiro.

“O número de golpes vai aumentar […] Mas, é uma inovação que também traz benefícios para a população, principalmente comerciantes. É realmente uma inovação e, assim como qualquer inovação, os bandidos também vão utilizar, como vem acontecendo com o PIX. Tudo que facilita a nossa vida, os criminosos digitais também utilizam”, diz Schultze.

No WhatsApp, as principais temáticas dos ataques estão relacionadas à pandemia da COVID-19 e ao Auxílio Emergencial. Segundo Schultze, os ataques devem continuar com essa temática, mas realizar furtos financeiros, agora se tornou mais fácil.

“Já são praticados diversos golpes no WhatsApp e, atualmente, é um dos principais meios de se aplicar golpes online […] Os golpes que já estão acontecendo vão continuar e de forma ainda mais fácil, já que não vai ter uma ligação direta com o banco, sendo ainda mais difícil de rastreabilidade que o banco normalmente tem. São várias temáticas utilizadas para pedir esse código e senhas. Os mais recentes são com temas do auxílio emergencial e vacina”, explica.

Schultze explica que o interesse do Banco Central é facilitar novas formas de pagamento alternativas, acreditando ser benéfico para o comerciante. Foto: Stock Catalog via Flickr.
Schultze explica que o interesse do Banco Central é facilitar novas formas de pagamento alternativas, acreditando ser benéfico para o comerciante. Foto: Quote Catalog.

Problema estrutural

Fabio Assolini, analista de segurança sênior na Kaspersky, explica que o WhatsApp Pay foi desenvolvido com bastante preocupação com relação à segurança, com recursos de segurança que dificultam a ação de cibercriminosos. No entanto, o aplicativo carrega um problema estrutural.

“O meio de pagamento é P2P (ponto-a-ponto). Isso é bom, pois as transferências são feitas de um usuário ao outro e o valor é creditado diretamente na conta bancária. Não existe um saldo carteira digital”, diz Assolini.

“É necessário uma autenticação (feita através de um código enviado por e-mail ou SMS) da instituição financeira emissora do cartão de débito quando se adiciona o método de pagamento ao recurso do WhatsApp. Existe também a configuração de um PIN numérico ou biométrico, que deve ser informado no ato do pagamento”, completa Assolini, sobre os recursos de segurança do WhatsApp Pay.

Segundo Assolini, o problema estrutural do WhatsApp, que deve ser considerado ao utilizar o WhatsApp Pay, é que os usuários são identificados apenas por um número de telefone. Não há um nome de usuário e senha, como há no Telegram, por exemplo. Além disso, o WhatsApp não vem com autenticação multifator configurada de fábrica e quando é configurada pelo usuário, não há opção de escolher outro meio para receber o código de confirmação, somente por SMS, que não é uma opção segura.

“A fraude mais comum envolvendo o WhatsApp é o “account takeover” – roubo de conta onde os golpistas usam a engenharia social (lábia) para convencer a vítima a informar o código OTP recebido por SMS para autenticar a instalação da conta em um novo aparelhoO envio de OTPs via SMS não é recomendado, pois, se trata de um meio inseguro de comunicação. Após ter acesso à conta roubada, eles enviam mensagens para parentes e amigos da vítima, pedindo dinheiro ou simulando situações de emergência”, explica.

Cibercriminoso pede para usuário enviar o código OTP para uma "configuração de segurança" fraudulenda. Foto: Lucas Moreira em colaboração à The Hack.
Cibercriminoso pede para usuário enviar o código OTP para uma “configuração de segurança” fraudulenda. Foto: Lucas Moreira em colaboração à The Hack.

Outro meio utilizado por cibercriminosos para roubar contas do WhatsApp é através de ataques de SIM Swap, onde é utilizado engenharia social para clonar o chip telefônico da vítimaCom acesso à linha telefônica de uma vítima, os cibercriminosos podem acessar o SMS de confirmação do WhatsApp e assumir controle da conta.

Para evitar que cibercriminosos acessem o WhatsApp Pay através de golpes de SIM Swap e account takeover, o recurso é desativado no momento em que a conta é ativada em outro aparelho. Ou seja, os dados de pagamentos não migram de um dispositivo para outro. Então, caso um criminoso clone o WhatsApp de uma vítima, ele não terá acesso às informações bancárias, também não terá como fazer transferências, informa Assolini.

Como se proteger

Mesmo desenvolvido com ferramentas de segurança, o WhatsApp ainda utiliza número de telefone para autenticação do serviço, já que isso identifica o usuário e se mostrou uma opção pouco segura. “O WhatsApp precisa mudar a forma de autenticação do serviço, oferecendo outras opções de cadastro/acesso que não seja baseado no número de telefone”, diz Assolini.

Já nos, usuários, devemos nos preocupar, principalmente, em ativar a autenticação de dois fatores (mesmo que por SMS), além de adicionar um e-mail à conta do WhatsApp e ativar PIN numérico para reduzir as chances de fraude bem sucedidas.

Além disso, Schultze recomenda que os usuários do serviço prestem bastante atenção em contatos de estranhos, com olhar crítico para identificar golpes, nunca enviar códigos que recebemos por SMS, nunca revelar informações pessoais, não clicar em links que peçam informações pessoais e atenção as histórias de conhecidos pedindo dinheiro.

A The Hack entrou em contato com o Facebook Brasil e com o WhatsApp Brasil, mas ainda não obteve resposta.

FONTE: THE HACK

Previous post PortDoor: Novo ataque de backdoor chinês APT tem como alvo o setor de defesa russo
Next post Hacker consegue reprogramar o sistema do AirTag da Apple

Deixe um comentário