Logo do WhatsApp na cor azul, como prometem alguns golpes online.

A anatomia de um golpe: o caso do WhatsApp colorido


24/1/17 às 9h02

Com mais de um bilhão de usuários no mundo e uma base fanática no Brasil, é seguro dizer que, se não o aplicativo mais popular, o WhatsApp praticamente integrou-se à vida do brasileiro. Essa ubiquidade o transforma. Dizer que o WhatsApp é um app de mensagens é reduzir suas funções e o potencial inventivo da multidão que o usa para os mais diversos fins. Entre eles, inclusive, disseminar boatos ancorados na boa-fé (ou o contrário) dos outros e aplicar golpes.

Não chega a surpreender a constatação de que o WhatsApp virou um vetor para práticas nocivas. Há uma relação direta entre popularidade e insegurança quando se fala em software proprietário: quanto mais gente utiliza um, mais interessante ele se torna para quem quer levar vantagem explorando falhas — no próprio software ou na percepção daqueles que o utilizam. Em casos assim, o retorno sobre investimento é muito convidativo. Afinal, por que gastar tempo, esforço e dinheiro para arquitetar golpes que alcançam alguns milhares de usuários quando se tem uma base com um bilhão deles dando sopa?

O Windows já sofreu bastante com isso. Recentemente, explodiu no Facebook apps que prometem uma coisa óbvia e até boba, como quizes, para, nos bastidores, coletar dados e desempenhar ações questionáveis sem o consentimento ou conhecimento da vítima. Agora, o WhatsApp desponta como novo campo de batalha para tais práticas.

O Manual do Usuário notou a disseminação de uma em particular, a do “WhatsApp colorido”, e se dispôs a investigar quais as suas consequências. Afinal, qual o prejuízo de quem, na ânsia por mudar as cores do WhatsApp, toca no link e segue os passos indicados na tela?

O caso do WhatsApp colorido

Nesse caso específico, do WhatsApp colorido, o prejuízo, aparentemente, é quase nulo.

Tudo começa com um link acompanhado da chamada “Cansado da mesma cor do whats? Agora dá para mudar!” ou alguma variação disso, devidamente ilustrado com o logo do WhatsApp na cor azul — o original, estamos cansados de ver, é verde.

Link para golpe do WhatsApp colorido.

Ao acessar o tal link, caímos num site bem feito, todo azul, com alguns dizeres e um botão escrito ATIVAR AGORA. Ao tocar nesse botão, ele dispara um popup contendo uma mensagem que pede para compartilhar a página com dez amigos ou cinco grupos no WhatsApp a fim de liberar o acesso às novas cores.

Site do WhatsApp colorido.

Compartilhei conforme requisitado. (Peço desculpas, novamente, aos amigos a quem importunei.) Isso é feito para gerar o efeito viral da mensagem. Alguns tipos de malware, em outros locais que não o WhatsApp (e-mail, por exemplo), procedem de forma automatizada, ou seja, sem que o usuário tenha que fazer qualquer coisa para que a mensagem se propague. Muitas vezes, ele sequer sabe que algo está acontecendo. O fato de exigir uma ação manual da vítima, bem como o tema de grande apelo, indica a precariedade do golpe. Não é nada sofisticado.

Ao final, surpresa (ou não): não existe WhatsApp colorido algum. Uma nova mensagem surge dizendo: “Novas cores liberadas apenas para Whatsapp WEB, acesse esse site pelo computador.”

Acesse o WhatsApp Web para ter as novas cores.

A situação no smartphone, porém, não acaba aí. Ao tocar no botão “Ok” para dispensar a mensagem, o site redireciona a vítima a uma página repleta de links para baixar outros apps. Eis aqui o motivo do “golpe”: impulsionar downloads de apps por esses links especiais, intermediados pela Appnext.

Apps oferecidos pelo WhatsApp colorido.

Algumas empresas oferecem incentivos financeiros para que terceiros — outros apps, redes sociais, sites de conteúdo — divulguem seus apps. Plataformas como a Appnext atuam como intermediários, conectando essas empresas a desenvolvedores, editores e outros tomadores de decisões interessados em divulgá-las em troca de dinheiro.

A cada instalação a partir desses links especiais, o divulgador ganha um pequeno valor a título de comissão. O que o criador do WhatsApp colorido quer, no fim das contas, é dar exposição aos seus links especiais. Cada instalação feita a partir dali gera alguns centavos que, no acumulado, podem chegar a valores substanciais.

Segundo a empresa de segurança digital PSafe, que alertou sobre esse golpe no começo do ano (e, ironicamente, é um dos apps oferecidos pelo próprio golpe), um milhão de brasileiros foram afetados por ele. Conversei com a assessoria da PSafe para contextualizar esse número. Nele, “afetado” é todo aquele que acessou o site onde o golpe é aplicado, ou seja, mesmo quem não convidou amigos e, assim, não chegou à página de download de apps entra na soma.

Outro detalhe importante é que esse um milhão está dentro do universo daqueles que têm o PSafe Total instalado — segundo a assessoria, 21 milhões de pessoas no Brasil. Fazendo uma conta básica, isso dá 4,8% dos usuários do app. De acordo com a FGV-SP, em pesquisa divulgada em abril de 2016, existiam, no país, 168 milhões de smartphones em uso. Se estendermos o percentual obtido pela PSafe a toda a base, chegamos a um total de 8,1 milhões de usuários “afetados”.

A PSafe não verificou se os apps oferecidos pelo golpe do WhatsApp colorido são maliciosos. Nesse caso, é improvável — a Appnext é uma empresa séria e consolidada. De qualquer modo, outros golpes semelhantes podem causar estragos sérios se utilizando de uma espécie de brecha do Android: a possibilidade do “side loading” de apps, ou seja, a instalação deles por fora da loja oficial do Google.

Tem quem se aproveite dessa liberdade para alterar apps populares ou mesmo criar apps “ocos”, usurpando nome e/ou elementos visuais de apps famosos. Em ambos os casos, insere-se nesses apps código para a execução das ações desejadas a serem desempenhadas nos aparelhos das vítimas. Essas ações vão de transformá-lo em zumbi de uma botnet a coletar dados sem o consentimento do usuário, entre outras coisas.

É por essas e outras que uma das melhores e mais fáceis recomendações de segurança é baixar sempre apps das lojas oficiais. Não é uma garantia total, mas esses locais têm mecanismos que combatem proativamente a veiculação de apps maliciosos.

A lenda do WhatsApp colorido

WhatsApp Web com a extensão que muda o visual.

Ah sim, o WhatsApp Web. Ao entrar no site do WhatsApp colorido pelo computador, ele redireciona o usuário a um app para Chrome que, este sim, modifica a cor do WhatsApp Web — mas só para uma, o preto, como mostrado na imagem acima.

Aqui, há duas hipóteses sobre o que pode estar acontecendo. A primeira é a de que quem criou isto fez a extensão para cumprir o prometido e dar legitimidade ao golpe. Se for esse o caso, menos mal: seu WhatsApp fica colorido e bola pra frente, nenhum prejuízo (fora o mau gosto das alterações no CSS que “pintam” o site de preto).

A outra possibilidade é mais preocupante. Quem criou essa extensão pode estar usando ela como fachada para coletar dados, inclusive o conteúdo das conversas. Antes de instalar a extensão, o navegador avisa que ela pode “ler e modificar todos os seus dados nos websites que você visitar”, o que é um mau sinal.

As permissões que o tema preto do WhatsApp exige no Chrome.

A pedido do Manual do Usuário, o desenvolvedor web Rafael Toledo criou uma extensão para Chrome que faz exatamente isso, ou seja, coleta mensagens trocadas através do WhatsApp Web. Ele explica o procedimento:

A extensão em si é bem básica. Usei o jQuery pra economizar esforço, mas no fim das contas é um JavaScript que espera dois segundos para começar a procurar conversas (div com a classe bubble e bubble-text dentro do HTML da página). Para cada “balão” encontrado ele dispara uma requisição Ajax para o arquivo zapzap.php (que precisa ser hospedado num servidor com HTTPS, senão o Chrome bloqueia a requisição gerada pela extensão).

Como o intuito era ver a possibilidade de “ler”, não me aprofundei muito na estrutura do WhatsApp Web, mas com tempo acredito ser possível extrair mais dados pra gerar um log mais limpo e organizado (e sem repetições, como acontece hoje).

Existe, porém, uma ressalva:

Não sei se ao publicar na loja é feita uma validação ou verificação, mas se com o “Modo do Desenvolvedor” ativado, a extensão funciona sem problemas.

Não foi possível, até a publicação desta matéria, verificar essa informação. Entretanto, a ESET, outra empresa de segurança, em seu alerta sobre o golpe do WhatsApp colorido ressalta que “a extensão (quando instalada) altera o código da página do WhatsApp Web, injetando um novo elemento no código da página web.whatsapp.com. O problema é que, dessa forma, vulnerabilidades na extensão podem comprometer a segurança no uso do site.”

Mas ainda que não seja o caso aqui, a extensão continua tendo acesso a “todos os seus dados nos websites que você visitar”. Talvez seja necessário ao seu funcionamento? Talvez — de repente o Chrome não tem uma permissão que alcance apenas um domínio e, disso, faz-se necessário essa (bem) mais abrangente. De qualquer forma, coloca-se muita coisa em risco a troco de um mero WhatsApp colorido. Não vale a pena.

Outros vetores e golpes de WhatsApp

Se o WhatsApp colorido não representa, à primeira vista, uma grande ameaça, existem outros golpes na praça com potencial destrutivo maior e real.

Em conversa com o Manual do Usuário, o advogado Leonardo Pacheco, especialista em Direito Digital, e a perita forense Iolanda Garay, revelaram o que ele tem chamado de “spoofing de WhatsApp”, golpe em que um terceiro toma a identidade da vítima no WhatsApp e se utiliza dessa condição para obter alguma vantagem em cima de algum contato dela — resultando em duas vítimas. Já há relatos dele no Brasil.

O primeiro passo para isso funcionar é “roubar” o número de telefone da vítima 1. Há duas formas conhecidas de se conseguir isso: usando engenharia social no SAC da operadora ou com a conivência e o auxílio de algum funcionário da operadora envolvido no golpe.

Ao passar o número da vítima 1 do SIM card original para um novo e reativar o WhatsApp em um smartphone diferente, o original perde acesso ao app. Os históricos de mensagens e contatos não são transportados, já que eles só são armazenados localmente, mas os grupos, sim, e quem tem o número da vítima 1 na agenda de contatos não imagina que ela perdeu o acesso e que, agora, as mensagens enviadas estão sendo recebidas por um terceiro se passando por ela.

Se esse terceiro criminoso souber de alguma relação de parentesco, facilita a coisa para ele. Se não, basta observar os grupos, cujas mensagens passarão a chegar ao novo smartphone, as conversas privadas que acontecerão dali em diante ou fazer uma pesquisa online nas redes sociais da vítima 1.

Então, digamos que o criminoso descubra que a vítima tem um irmão, a vítima 2. O passo seguinte é elaborar uma história de urgência e pedir dinheiro. “Estou num apuro aqui, quebrou o carro no meio do nada, deposita R$ 500 para eu pagar o mecânico e depois te pago”. Engenharia social da mais pura. A vítima 2 faz o depósito e ela só descobrirá que não foi a vítima 1 quem fez o pedido posteriormente, quando se comunicarem por outro meio. O estrago já estará feito e os R$ 500, perdidos.

Outros resultados podem derivar desse tipo de ataque, como a coleta de informações para sequestros-relâmpago. Personificar um terceiro dentro do WhatsApp, um app de usos tão diversos e enraizado na sociedade, significa ter acesso a um universo rico de informações. E, não é por acaso, diz-se desde sempre que informação é poder.

O que agrava esse golpe é que ele independe de quaisquer ações da vítima. É uma situação similar à do famoso ataque ao jornalista Mat Honan, que em 2012 teve a sua vida digital arruinada graças à negligência dos setores de atendimento da Apple e da Amazon.

Notificação de troca de chave no WhatsApp.

O máximo que se pode fazer, neste caso do spoofing de WhatsApp, é pedir a seus familiares e amigos próximos para que ativem as notificações de trocas de chave do WhatsApp. Fazendo isso, o app passa a avisar, como na imagem acima, quando acontece uma troca de chaves — quando algum contato troca de smartphone, de número ou reinstala o WhatsApp. Essa falha explora o “backdoor” revelado pelo Guardian recentemente. Não é, de fato, um backdoor, mas é uma vulnerabilidade derivada de uma má configuração padrão do WhatsApp.

O fato do WhatsApp ser criptografado de ponta-a-ponta não garante a sua inviolabilidade. Trata-se de uma camada poderosa de proteção à privacidade e, até agora, impenetrável no sentido de proteger o conteúdo das mensagens, mas ela pouco serve frente a ataques que se utilizam de engenharia social ou que atuam nos elos fracos na cadeia que permite a troca de mensagens — a operadora, o sistema SMS, o WhatsApp Web. Há muito mais numa troca de mensagens que as mensagens em si e é esses pontos circunstanciais que acabam sendo alvos de gente má intencionada.

Uma vulnerabilidade recém-descoberta, por exemplo, usa o sistema de autenticação do WhatsApp Web, via código QR, para sequestrar contas do app. Alguém interessado consegue trocar o código oficial por um que lhe conceda acesso ao WhatsApp de um terceiro. Martin Wagner detalha esse caso.

Outro golpe promete clonar WhatsApp de terceiro.
Imagem: ESET.

Outro golpe pelo app que está circulando no Brasil é o que promete “clonar WhatsApp”. Obviamente que o procedimento não resulta no que é prometido, mas sim na assinatura de um serviço de SMS premium que pode chegar a custar, à vítima, R$ 4,99 por semana. A curiosidade pode custar caro.

Outros perigos no Facebook e em apps

Extrapolando o WhatsApp, vemos com frequência ataques que se utilizam de chamarizes aparentemente inofensivos para funcionarem. A troca de cores em apps e redes sociais famosas é um histórico e, até hoje, comprovadamente funcional. Há um interesse desmedido em mudar a cor desses ambientes online que facilita a execução de golpes. Isso vem desde o Orkut.

O Facebook é terreno fértil para ataques do tipo. Apps simples escancaram perfis pessoais a marqueteiros de todas as espécies. Faço um apelo: não responda aquele quiz estúpido que todos os seus amigos estão publicando. Esses quizes são, na maioria dos casos, iscas para capturar dados e formular perfis demográficos precisos que, depois, são vendidos para quem paga mais.

Em novembro do ano passado, na ressaca das eleições presidenciais norte-americanas, o New York Times abordou o assunto. A empresa de dados Cambridge Analytica é especializada em montar perfis e associar dados offline de outros extraídos do Facebook. Como? Usando testes de personalidade e outros tipos de quiz através da rede social.

A Cambridge Analytica foi contratada pelo comitê de campanha de Donald Trump a fim de criar perfis de eleitores e, com essas informações, facilitar o direcionamento de publicações hiper segmentadas para cada um deles. A mesma empresa atuou no Brexit, ajudando a ala que queria a saída do Reino Unido da União Europeia. Ambos, Trump e Brexit, sagraram-se vencedores nas urnas. Não há provas concretas, mas não é difícil imaginar que o mesmo artifício esteja sendo usado para fins políticos também no Brasil.

O mesmo vale para apps do Facebook que pedem acesso a seus dados. Alguns quizes, aliás, só revelam seus resultados após terem seus apps instalados. É uma maneira fácil de obter dados como nome verdadeiro, e-mail, lugar onde mora e outros dados básicos do Facebook e associá-los aos resultados do quiz, gerando um perfil ainda mais preciso e valioso para campanhas publicitárias.

Dica: acesse esta página e revogue o acesso de todos os apps que você não reconhecer ou não se lembrar do que se trata.

Saindo das redes sociais, existem riscos, também, nas plataformas móveis. O Meitu, app que transforma selfies em personagens de desenho japonês e sensação nas redes sociais, é o caso mais recente. Ele parece inofensivo, mas há elementos suficientes no seu modo de funcionamento para acender a luz de alerta. Por que um app de fotos precisa ter acesso ao identificador do smartphone e à geolocalização do usuário?

Algumas permissões que o Meitu pede no Android.

A Meitu, empresa homônima produtora do app, tem sede na China e responde por outros similares como o Airbrush (já citado aqui) e o BeautyPlus, que vem pré-instalado no Zenfone 3 e em outros smartphones de 2016 da Asus e que, no comparativo do Manual do Usuário de smartphones super médios, causou estranheza. De lá:

Além das redundâncias e apps simplesmente ruins, deparei-me com alguns potencialmente perigosos. É o caso do BeautyPlus, que serve para “embelezar” sefies, mas pede para isso permissão para fazer e gerenciar chamadas telefônicas. Gastei um bom tempo tentando entender a lógica, sem sucesso. Por que um app de tirar e editar fotos precisaria disso?

A Meitu acabou de abrir capital na bolsa de Hong Kong e obteve o maior IPO entre empresas de tecnologia da última década. Ela vale quase US$ 5 bilhões graças aos anúncios que veicula aos usuários.

Essa publicidade vale tanto graças aos subterfúgios usados pela Meitu para conseguir dados dos usuários, a maioria bastante questionável, usados na segmentação dos anúncios. Analisando o Meitu para iOS, pesquisadores de segurança encontraram uma série de trechos de código e práticas abusivas. O mesmo vale para Android e para a maioria esmagadora dos apps gratuitos que confiam em publicidade para fazerem dinheiro. Há um preço alto a ser pago por apps gratuitos; o detalhe é que eles não são cobrados em dinheiro.

“Mas é tão bonito!”

Quando vejo uma selfie do Meitu no Instagram ou Twitter, o resultado de um quiz no feed do Facebook ou um link “mude a cor do seu WhatsApp” rolando em algum grupo do WhatsApp, sempre me vem à cabeça esta cena do filme Vida de Inseto, da Pixar:

Cena do filme Vida de Inseto.

A mosca, hipnotizada pela armadilha, começa a se aproximar dela. A outra diz: “Não olhe para a luz!”, tentando dissuadir a primeira do seu iminente fim. A vítima ignora a amiga e, ainda voando rumo à armadilha, responde: “Não consigo evitar, é tão bonito!”

E morre.

De fato, na Internet tudo é muito bonito e chamativo. Esses atributos são potencializados pelo tédio que nos acompanha em boa parte da vida e que tentamos suprimir a todo custo. Descobrimos, na Internet, uma poderosa arma nessa luta quixotesca. E, nessa, fomos vítimas de uma inversão de valores que praticamente passou batida pela nossa consciência.

O verdadeiro estrago que essas “armas” de combate ao tédio causam é em nós mesmos. Na ânsia por derrotar o tédio, embarcar precocemente na próxima modinha ou apenas chamar a atenção, sujeitamo-nos a riscos tolos que poderiam ser evitados com o mínimo de prudência. Não existe almoço grátis e quando a oferta é boa demais, é muitíssimo provável que algo, oculto nas entrelinhas, irá prejudicá-lo. Tenhamos mais atenção, pois.

Cadê os anúncios?

O Manual do Usuário é um projeto independente, que se propõe crítico e que respeita a sua privacidade — não há scripts de monitoramento ou publicidade programática neste site. Tudo isso sem fechar o conteúdo para pagantes. Essas características são vitais para o bom jornalismo que se tenta fazer aqui.

A viabilidade do negócio depende de algumas frentes de receita, todas calcadas na transparência e no respeito absoluto a você, leitor(a). A mais importante é a do financiamento coletivo, em que leitores interessados sustentam diretamente a operação. A assinatura custa a partir de R$ 5 por mês — ou R$ 9/mês para receber recompensas exclusivas:

Assine no Catarse

Newsletter

Toda sexta-feira, um resumo do noticiário de tecnologia, indicações de leitura e curiosidades direto no seu e-mail, grátis:


Nas redes sociais, notícias o dia todo:
Twitter // Telegram