A exposição de 3,5 mil milhões de dados do WhatsApp deixa milhões de americanos expostos a burlas
Autor: Adam Collins
Um novo estudo da Universidade de Viena confirmou algo que todos os utilizadores americanos do WhatsApp esperavam que nunca acontecesse. Os criminosos podem agora identificar quais os números de telefone que estão ativamente registados no WhatsApp e compará-los com as fotografias de perfil públicas e com os estados do About. São 137 milhões de contas americanas confirmadas, subitamente mapeadas, identificadas e prontas para serem exploradas.
E quando 44% dessas contas apresentam uma fotografia de perfil pública e 33% apresentam um texto Sobre público, os dados tornam-se uma mina de ouro para os burlões. Um número válido, um rosto e uma pitada de pormenores pessoais é tudo o que um criminoso precisa para lançar ataques sofisticados de engenharia social.
Eis o que isto significa para os utilizadores americanos de hoje.
Em poucas palavras:
- 137 milhões de números WhatsApp dos EUA foram confirmados como activos
- 44% mostravam fotos de perfil públicas e 33% tinham textos públicos sobre
- Estes dados alimentam a troca de SIM, os esquemas de falsificação de identidade e o phishing direcionado
- Também permite a micro-direção e vigilância política
- Os utilizadores dos EUA devem proteger o WhatsApp, bloquear as permissões do SIM e ocultar a informação do perfil público
Que riscos financeiros é que esta fuga de informação cria?
A troca de SIM já é um problema de milhares de milhões de dólares nos EUA. Este novo conjunto de números de telefone confirmados dá aos criminosos uma vantagem assustadora.
Um burlão só precisa de duas coisas para se fazer passar por si quando liga para a AT&T, T Mobile ou Verizon. Um número de telefone que funcione e um pormenor pessoal convincente.
A fuga de informação fornece ambos.
Com um número confirmado como ativo no WhatsApp, mais uma fotografia de perfil e um pequeno texto sobre o assunto que revele pistas como o nome próprio ou a cidade, os criminosos parecem mais credíveis aos agentes do serviço de apoio ao cliente. Depois de convencerem um operador a transferir o seu número para o cartão SIM deles, passam a controlar as suas chamadas e mensagens de texto. Isso inclui códigos bancários baseados em SMS, 2FA de contas criptografadas e redefinição de senhas.
Em minutos, os atacantes podem esvaziar as contas e bloquear completamente as vítimas.
Como é que isto pode levar a esquemas de falsificação de identidade?
Porque os burlões já não precisam de adivinhar. Eles já sabem que o seu número é real.
Ao copiarem a sua imagem de perfil e o seu nome e ao contactarem os seus amigos com mensagens do tipo "Sou eu, mudei de número", os atacantes podem lançar esquemas de falsificação de identidade no WhatsApp incrivelmente convincentes.
Exemplo de uma mensagem de burla
Os pedidos de ajuda urgente, transferências rápidas de dinheiro ou "Preciso do seu código de verificação" tornam-se muito mais credíveis quando vêm de uma cara conhecida.
E ainda fica pior. Os números de telefone dos EUA nesta fuga de informação podem ser comparados com violações antigas, como o incidente de recolha de dados do Facebook em 2021. Um golpista pode combinar sua foto do WhatsApp com seu nome completo, e-mail ou cidade natal e, em seguida, mudar de canal e atacá-lo por SMS ou e-mail com uma tentativa de phishing altamente personalizada.
Isso cria riscos políticos ou de vigilância?
Infelizmente sim. Num ano de eleições nos EUA, os números activos confirmados tornam-se uma poderosa ferramenta de segmentação.
Grupos políticos ou agentes estrangeiros podem criar bases de dados segmentadas de milhões de utilizadores verificados do WhatsApp. Podem enviar desinformação personalizada diretamente para as conversas privadas, especialmente nos estados mais difíceis. A estrutura de reencaminhamento viral do WhatsApp torna este processo extremamente eficaz em grande escala.
Mesmo as agências que monitorizam activistas ou jornalistas podem utilizar estes números confirmados para identificar se uma pessoa específica utiliza o WhatsApp e até qual o sistema operativo que utiliza. Os metadados são minúsculos, mas incrivelmente poderosos.
O que devem os utilizadores dos EUA fazer agora?
A boa notícia é que você pode fechar a maioria dessas vulnerabilidades com algumas mudanças.
Ativar a verificação em dois passos no WhatsApp
Abra as definições do WhatsApp, depois Conta, depois Verificação em dois passos e crie um PIN de seis dígitos. Isto impede que qualquer pessoa registe o seu número noutro local, mesmo após uma troca de SIM.
Bloquear a conta da operadora móvel
Ligue para a sua operadora e adicione um PIN de saída de porta ou uma senha de alta segurança. Isto dificulta significativamente as trocas não autorizadas de SIM.
Oculte os detalhes do seu perfil público
Defina a sua fotografia de perfil, Sobre e Visto pela última vez como Os meus contactos ou Ninguém. Assim, elimina a prova social de que os criminosos dependem.
Leia o nosso guia sobre como recuperar a sua conta WhatsApp.
Perguntas frequentes
Como é que os atacantes obtiveram os 137 milhões de números de telefone dos EUA?
Os investigadores utilizaram técnicas de enumeração para confirmar quais os números que estavam activos no WhatsApp. Não quebraram a encriptação, mas mapearam metadados publicamente visíveis.
Isto significa que as mensagens do WhatsApp estão expostas?
Não. As mensagens permanecem encriptadas de ponta a ponta. O risco vem dos números de telefone confirmados e dos dados de perfil públicos.
Todos os utilizadores do WhatsApp nos EUA são afectados?
Apenas os números que estavam activos e tinham detalhes visíveis publicamente. Mas a escala é suficientemente grande para afetar toda a gente.
Isto pode levar ao roubo de contas bancárias?
Sim. A troca de SIM permitida por números confirmados e dados pessoais pode dar aos criminosos acesso a códigos bancários baseados em SMS.
Devo deixar de utilizar o WhatsApp?
Não é necessário. Mas deve reforçar as definições de privacidade e ativar imediatamente a proteção de dois factores.
Como é que me posso antecipar a esquemas como este?
Instale a aplicação ScamAdviser para obter alertas em tempo real, verificações de fraudes e sugestões práticas de proteção adaptadas às ameaças mais comuns.
Denuncie um golpe!
Você caiu em uma farsa, comprou um produto falsificado? Denuncie o site e avise outras pessoas!
Categorias de fraude
Ajuda & Informações
Top Safety Picks
Your Go-To Tools for Online Safety
- ScamAdviser App - iOS : Your personal scam detector, on the go! Check website safety, report scams, and get instant alerts. Available on iOS
- ScamAdviser App - Android : Your personal scam detector, on the go! Check website safety, report scams, and get instant alerts. Available on Android.
- NordVPN : NordVPN keeps your connection private and secure whether you are at home, traveling, or streaming from another country. It protects your data, blocks unwanted ads and trackers, and helps you access your paid subscriptions anywhere. Try it Today!
Histórias Populares
À medida que a influência da Internet aumenta, aumenta também a prevalência de burlas em linha. Há burlões que fazem todo o tipo de alegações para apanhar as vítimas em linha - desde falsas oportunidades de investimento a lojas em linha - e a Internet permite-lhes operar a partir de qualquer parte do mundo com anonimato. A capacidade de detetar fraudes em linha é uma competência importante, uma vez que o mundo virtual está cada vez mais presente em todas as facetas da nossa vida. As dicas abaixo ajudá-lo-ão a identificar os sinais que podem indicar que um sítio Web pode ser uma burla. Senso comum: Demasiado bom para ser verdade Quando se procura produtos online, um bom negócio pode ser muito aliciante. Uma mala Gucci ou um iPhone novo por metade do preço? Quem é que não gostaria de aproveitar uma oferta destas? Os burlões também sabem disso e tentam tirar partido desse facto. Se uma oferta em linha parecer demasiado boa para ser verdade, pense duas vezes e verifique tudo. A forma mais fácil de o fazer é simplesmente verificar o mesmo produto em sítios Web concorrentes (em que confie). Se a diferença de preços for enorme, talvez seja melhor verificar novamente o resto do sítio Web. Verifique as ligações para as redes sociais Atualmente, as redes sociais são uma parte essencial das empresas de comércio eletrónico e os consumidores esperam frequent
Então, o pior aconteceu - apercebeu-se de que gastou o seu dinheiro demasiado depressa e que o site que utilizou era uma fraude - e agora? Bem, antes de mais, não desesperes!! Se pensa que foi enganado, a primeira coisa a fazer quando tem um problema é simplesmente pedir um reembolso. Este é o primeiro e mais fácil passo para determinar se está a lidar com uma empresa genuína ou com burlões. Infelizmente, obter o seu dinheiro de volta de um burlão não é tão simples como pedir. Se estiver de facto a lidar com burlões, o procedimento (e a possibilidade) de obter o seu dinheiro de volta varia consoante o método de pagamento utilizado. PayPal Cartão de débito/cartão de crédito Transferência bancária Transferência bancária Google Pay Bitcoin PayPal Se utilizou o PayPal, tem grandes hipóteses de obter o seu dinheiro de volta se tiver sido enganado. No sítio Web, pode apresentar um litígio no prazo de 180 dias de calendário a contar da data da compra. Condições para apresentar uma disputa: A situação mais simples é a de ter feito uma encomenda numa loja online e esta não ter chegado. Neste caso, é isto que o PayPal afirma: "Se a sua encomenda nunca aparecer e o vendedor não puder apresentar prova de envio ou entrega, receberá um reembolso total. É simples assim". O burlão enviou-lhe um artigo completamente diferente. Por exemplo, encomendou um