Contas do WhatsApp podem ser desativadas com apenas um email
Atualmente existem vários esquemas que se propagam via o WhatsApp, e que na maioria dos casos, pretendem levar as vítimas a fornecerem dados pessoais ou a fornecerem dados de pagamento e cartões de créditos a burlões.
No entanto, por norma, estes ataques necessitam que os utilizadores realizem algum género de atividade, nem que seja acederem diretamente aos links dos conteúdos maliciosos. Este é o método comum de como um utilizador mais desatento pode acabar por ser vítima de um esquema.
No entanto, existe um novo “truque” que alguns utilizadores estão a ser alvo, e que pode permitir desativar as contas do WhatsApp de utilizadores legítimos, mesmo que estes não sejam diretamente atacados ou alvo de esquemas.
Quando os utilizadores perdem os seus dispositivos ou números de telefone, o WhatsApp permite que estes possam cancelar as suas contas da plataforma de mensagens, evitando que a conta seja usada noutros dispositivos.
Este cancelamento da conta pode ser feito de várias formas, mas uma delas será via email. Nas FAQ do WhatsApp, relativamente à desativação de contas, é indicado que os utilizadores que tenham os seus números de telefone comprometidos ou perdidos, podem requerer diretamente ao suporte do WhatsApp para desativarem as suas contas.
Isto é feito com um simples email, que qualquer pessoa pode enviar. A mensagem de email pode conter apenas o assunto “Telemóvel perdido / roubado: desativem a minha conta”, com o conteúdo do número de telefone a desativar do WhatsApp. Ou seja, tudo o que os atacantes necessitam é de saber o número de telefone da vítima, para poderem desativar as suas contas do WhatsApp.
O investigador de segurança Jake Moore realizou exatamente o teste a este sistema, e confirmou que sem qualquer validação, o WhatsApp pode ser rapidamente desativado através de um email. O investigador fez o teste com o seu próprio número de telefone para exemplo, tendo recebido a confirmação de que a Meta iria proceder com a desativação da conta.
No entanto, o mesmo afirma que foi apenas bloqueado de forma temporária, e que rapidamente conseguiu voltar a obter acesso à conta. Apesar disso, é um pequeno “truque” que pode tornar a vida complicada para algumas vítimas do mesmo.
Tendo em conta que o WhatsApp não possui nenhuma validação via email, os utilizadores podem enviar o pedido de desativação virtualmente de qualquer conta de email – desde que saibam o número de telefone da pessoa.
Mesmo que a conta não seja inteiramente desativada, a capacidade de desativar temporariamente o WhatsApp de alguém por uma simples mensagem de email é certamente um problema.
O esquema pode ainda ser conjugado com outros géneros de ataques, como ameaças, levando possíveis vitimas a acreditarem mais nos esquemas realizados pela plataforma – por exemplo, os atacantes podem ameaçar bloquear a conta do WhatsApp caso os utilizadores não realizem um pagamento.