Lançado no último dia 4 de maio no Brasil, o WhatsApp Pay permite realizar pagamentos pelo aplicativo de mensagem. A novidade está chamando bastante atenção: não há cobrança de taxas para enviar ou receber dinheiro, e as transações podem ser feitas usando cartão pré-pago, de débito ou múltiplo com a função débito. A Kaspersky analisou a ferramenta e listou as principais características de segurança da aplicação, além de trazer dicas para ampliar a proteção dos usuários.
O primeiro ponto que os especialistas da empresa apontaram é que o app utiliza P2P (conhecido como ponto-a-ponto) como meio de pagamento. Desta forma, a transferência do dinheiro é feita de um usuário ao outro, sem deixar saldos disponíveis em um e-wallet ou em uma conta digital – métodos que poderiam ser alvo dos criminosos.
Outro ponto positivo é a exigência de autenticação da instituição financeira quando o usuário adiciona um cartão de débito como método de pagamento. Feita com um código temporário, conhecido como OTP (one-time-password, em inglês), a autenticação é enviada por e-mail ou SMS e é um passo obrigatório para se completar o processo. Também é possível configurar um PIN numérico ou biométrico, que deve ser informado no ato do pagamento.
Outra medida de segurança adotada pelo novo recurso de pagamento chamou a atenção da Kaspersky no Brasil. Caso a conta WhatsApp seja instalada em um novo dispositivo, a migração da função de pagamento não é automática. Ou seja, ela é desativada da conta e isto exige o recadastramento das informações financeiras.
“Esta medida evita que os criminosos comprometam o cartão de débito da vítima, caso a conta seja roubada. Infelizmente este golpe, tecnicamente chamado de account takeover é o mais comum no Brasil e era a principal preocupação desde que rumores do lançamento do serviço por aqui surgiram”, afirma Fabio Assolini, analista de segurança da Kaspersky no Brasil.
O especialista explica ainda que o golpe que rouba a conta do WhatsApp usa técnicas de engenharia social (lábia) para convencer a vítima a informar o código de instalação temporário (OTP), que é enviado por SMS quando uma instalação é iniciada. “Caso a vítima informe a sequência de seis números, os cibercriminosos conseguem concluir a ativação da conta no novo aparelho e passam a ter acesso às mensagens e contatos da pessoa. Eles se aproveitam disso para entrar em contato com amigos e familiares e pedir dinheiro emprestado. Ter um método de transferência financeira na plataforma poderia potencializar esta prática. Felizmente, não identificamos em nossa análise uma maneira de explorar o WhatsApp Pay neste golpe”, explica Assolini.
Mesmo assim, existe um tipo de ataque que não há como se proteger ou mitigar: o SIM swap , na qual é possível roubar uma conta de WhatsApp ao transferir o número do telefone para um novo chip. Outra preocupação de quem decidir instalar o novo recurso de pagamento deve ter é com a proteção do dispositivo. “Existem programas maliciosos financeiros que conseguem realizar transferências bancários acessando remotamente o dispositivo da vítima. Basta uma atualização deste malware para que eles façam uma transação usando o app de mensagem. Mas aqui a maior responsabilidade de segurança está do lado da pessoa “, destaca o analista.
Para que o usuário se proteja de possíveis golpes no WhatsApp e preserve suas informações no WhatsApp Pay, a Kaspersky recomenda:
• Reative sua conta do WhatsApp o mais rápido possível em caso de perda ou roubo do aparelho. Estre processo desativará o WhatsApp Pay no smartphone perdido ou roubado. Caso não faça o procedimento, o golpista terá a chance de cometer fraudes com a conta da vítima.
• Faça uso de um PIN numérico na autenticação dos pagamentos. O processo é feito com o sistema operacional do smartphone e usa a digital já cadastrada. Em caso de roubo do aparelho, especialmente em situações em que a tela não está bloqueada, um golpista pode cadastrar uma nova digital, possibilitando assim o acesso ao WhatsApp Pay e, consequentemente, o envio de dinheiro usando o cartão cadastrado.
• Tenha uma solução de segurança instalada no dispositivo, como o Kaspersky Internet Security para Android, que bloqueia remotamente o smartphone em caso de perda ou roubo, além de proteger o usuário contra golpes que acessam remotamente o aparelho, como os trojans como Ghimob e BRata, que podem realizar transações financeiras sem o conhecimento do proprietário.
• Ative os recursos de proteção do WhatsApp, principalmente a autenticação de dois fatores, para diminuir a chance de fraudes. Outros recursos importantes são a adição de um e-mail na conta do WhatsApp para evitar golpes através da central de suporte, bem como ativar o bloqueio do app por meio de um PIN numérico. Essas ações ajudam a diminuir a chance de fraudes e ataques de roubo de contas.