Você recebe uma mensagem que parece do próprio aplicativo. Diz que há um problema na sua conta, que é preciso "verificar" ou "restaurar". Pede um código, um PIN, ou manda um link.
Se você entregar, a conta deixa de ser sua. E o pior vem depois: o criminoso passa a ler suas mensagens, ver sua lista de contatos e atacar as pessoas que confiam em você — sua mãe no Brasil, seu grupo de trabalho, seu cliente.
A criptografia não falhou. Você foi convencido
Esta é a parte que mais confunde. O FBI é explícito: os criminosos não quebraram a criptografia nem o aplicativo. Eles comprometem contas individuais — convencendo o dono a abrir a porta.
Nas palavras do alerta: "Embora a criptografia continue eficaz, o phishing permite que agentes maliciosos contornem a criptografia inteiramente ao obter acesso às contas dos usuários."
Traduzindo: a fechadura é boa. O golpe é fazer você entregar a chave.
A regra de ouro — decore esta frase
"Serviços legítimos de suporte não pedem códigos de verificação dentro do aplicativo. O suporte não envia links para 'verificar' ou 'restaurar' contas."
É o que dizem o FBI e a agência federal de segurança cibernética, em conjunto.
Ou seja: se alguém dentro do app pede o seu código, é golpe. Não existe exceção. Não importa quão oficial a conta pareça, nem se ela tem foto, selo ou nome de suporte.
A armadilha nova: a chave de recuperação do backup
A tática evoluiu. Agora eles vão atrás da chave de recuperação do backup — aquele código longo que restaura o seu histórico de conversas.
Com ela, o criminoso acessa o histórico das suas mensagens privadas e de grupos.
E aqui vem o detalhe cruel, que quase ninguém sabe: se você entregou a chave de backup, ela continua valendo mesmo que você crie uma conta nova com o mesmo número. Recuperar a conta não basta. É preciso gerar uma nova chave nas configurações do aplicativo para invalidar a antiga.
Isso não desfaz o que o criminoso já baixou — mas fecha a porta para o resto.
Como não cair
- Nunca compartilhe código, PIN ou senha para uma ação que você não iniciou.
- Desconfie de mensagem inesperada, mesmo vinda de um amigo — a conta dele pode ter sido tomada. Se o pedido é estranho, ligue para a pessoa.
- Confira o link antes de clicar. Golpista troca uma letra e você não percebe.
- Revise a lista de dispositivos conectados na sua conta. É assim que o criminoso se instala: adicionando o aparelho dele como "dispositivo vinculado".
- Olhe os participantes dos seus grupos de vez em quando, procurando perfis duplicados ou estranhos.
- Ative a verificação em duas etapas do aplicativo.
Proteja o aparelho também
A orientação da FTC é simples e vale para todo mundo:
- Trave o celular com PIN ou senha de pelo menos seis dígitos, e configure o bloqueio automático.
- Mantenha o sistema e os aplicativos atualizados automaticamente.
- Ative o recurso que localiza o aparelho perdido ou roubado — ele também permite bloquear ou apagar tudo à distância.
- Faça backup do que importa.
Se já aconteceu com você
- Recupere a conta pelo próprio aplicativo, refazendo a verificação com o seu número.
- Gere uma nova chave de recuperação do backup, nas configurações.
- Remova os dispositivos vinculados que você não reconhece.
- Avise seus contatos — eles são o próximo alvo, e um aviso seu evita que caiam.
- Reporte em ic3.gov, o canal do FBI para crimes cibernéticos.
- Se houve fraude financeira, registre em IdentityTheft.gov — há atendimento em outros idiomas pelo 877-438-4338, opção 3, com intérpretes.
Uma nota de contexto, para não gerar pânico desnecessário: o alerta do FBI descreve uma campanha voltada a alvos de alto valor — autoridades, militares, jornalistas. Não há informação de que brasileiros sejam alvo dessa campanha específica. O que vale para você é a técnica: é exatamente a do golpe do falso suporte que circula nos grupos todo dia.
Comentários
Faça login para comentar
EntrarSeja o primeiro a comentar!