Uma técnica de espelhamento de ecrã está a ser explorada por criminosos para assumir contas de WhatsApp e solicitar transferências monetárias aos contactos das vítimas. O método, já identificado na Europa e na América do Sul, combina engenharia social com acesso remoto ao dispositivo, permitindo o roubo do código de segurança necessário para activar a aplicação noutro telemóvel.
Como funciona o esquema de espelhamento
O ataque começa com uma chamada de vídeo no WhatsApp, na qual o golpista se faz passar por um contacto da vítima. Após a ligação ser atendida, a vítima vê apenas um ecrã preto. O atacante afirma que existe um problema técnico e pede o partilhar ecrã para “ajudar a resolver”. No momento em que a partilha é autorizada, um cavalo de Troia é instalado silenciosamente no telemóvel.
Com o dispositivo comprometido, chega uma mensagem SMS contendo o código de verificação de seis dígitos do WhatsApp. Como o ecrã continua a ser transmitido, o criminoso consegue ler o código em tempo real e introduzi-lo noutro aparelho, tomando controlo da conta. De seguida, o invasor encerra a sessão no telefone original, impedindo o proprietário de voltar a entrar.
Consequências imediatas para as vítimas
Minutos após a invasão, os contactos do utilizador começam a receber mensagens a pedir transferências “urgentes”. Um caso relatado à Euronews descreve como, poucas horas depois do ataque, amigos e familiares já tinham sido abordados com solicitações de dinheiro.
No Brasil, uma variante do golpe envolve o envio de mensagens que anunciam um “novo número” da vítima. A conversa, aparentemente inofensiva, culmina sempre num pedido de “empréstimo” ou “ajuda financeira”.
Orientações das autoridades de cibersegurança
O Instituto Nacional de Cibersegurança de Espanha (Incibe) divulgou passos concretos para mitigar riscos e tentar recuperar contas comprometidas:
- Informar imediatamente todos os contactos para evitar que também sejam enganados.
- Contactar o número que efectuou a chamada de vídeo, pois esse utilizador pode ter sido igualmente vítima.
- Reinstalar o WhatsApp para forçar o envio de um novo código de activação.
- Pedir assistência ao suporte da aplicação através do endereço [email protected].
- Se a recuperação falhar, dirigir um pedido ao encarregado de protecção de dados da plataforma.
- Na ausência de resposta em 30 dias, apresentar queixa às autoridades competentes.
- Alertar a instituição bancária sobre o incidente e seguir as recomendações de segurança.
Medidas preventivas recomendadas
Para reduzir a probabilidade de comprometer a conta, o Incibe sublinha três práticas essenciais:
- Activar a verificação em duas etapas no WhatsApp, criando um PIN adicional.
- Recusar sempre o partilhar ecrã, salvo absoluta confiança na identidade do interlocutor.
- Não divulgar códigos de verificação, uma vez que são pessoais e intransmissíveis.
Rumor sobre alegado ataque ao Gmail desmentido pela Google
Enquanto o WhatsApp enfrenta novas tentativas de fraude, circulou na última semana o boato de que 2,5 mil milhões de utilizadores do Gmail teriam sido instruídos a trocar a palavra-passe devido a um alegado ataque massivo. A Google esclareceu que o incidente reportado dizia respeito apenas à plataforma Salesforce da empresa e não afectou o Gmail nem o Google Workspace.
Em comunicado, a tecnológica recomendou a adopção de passkeys, chaves de acesso baseadas em autenticação biométrica ou PIN que substituem as palavras-passe tradicionais. Além de simplificarem o início de sessão, estas chaves limitam o impacto de campanhas de phishing e reduzem a probabilidade de roubo de credenciais.
Pontos essenciais a reter
O golpe de espelhamento de ecrã demonstra a eficácia da engenharia social na obtenção de dados críticos. A simples exposição do ecrã permite ao atacante capturar o código de activação, chave para controlar uma conta de WhatsApp. O Incibe reforça que, sem partilha de ecrã e com verificação em duas etapas activa, o risco de intrusão baixa consideravelmente.
Por outro lado, o boato sobre um ataque à infraestrutura do Gmail evidência como notícias não confirmadas podem ampliar a sensação de insegurança. A recomendação dos especialistas mantém-se: adoptar autenticação forte e desconfiar de pedidos de dados ou acções urgentes recebidos por canais digitais.
