São Paulo – Ainda que seja diferente de invadir uma conta no Facebook, hackear um WhatsApp está longe de ser impossível. Existem diferentes técnicas, que envolvem um pouco de conhecimento técnico e muita engenharia social. Mas uma solução simples pode ajudar a evitar que você seja uma vítima: a chamada verificação em dois passos ou duas etapas. E ativá-la é bem fácil.

No WhatsApp para Androids e iPhones, o caminho é o mesmo. Vá primeiro em Configurações (ou Settings, caso seu sistema esteja em inglês) e depois em Conta (Account). No novo menu, clique em Verificação em duas etapas (Two-step verification) e depois em Ativar (Enable). Feito isso, é só definir uma combinação de seis dígitos — algo que você não esqueça, mas que também não seja tão simples quanto 123456.

Essa senha numérica será solicitada pelo WhatsApp de tempos em tempos para checar se você ainda é você. A combinação também será exigida na hora de configurar o aplicativo em outro celular. A solução não deixa a conta imune a hackers — até porque isso só é possível aliando um recurso de proteção como esse à educação dos usuários sobre os riscos de ataques na web —, mas dificulta bastante o trabalho de um eventual cibercriminoso.

Como hackear um WhatsApp?

Os processos usados por cibercriminosos para hackear uma conta de WhatsApp são um pouco mais complexos do que o tradicional roubo de senhas, que é a base de invasões de contas em redes sociais. Há dois métodos mais conhecidos.

O primeiro deles ganhou notoriedade no começo deste mês, quando uma onda de ataques atingiu usuários em Israel, como relatado em reportagem do jornal Times of Israel. A técnica é bastante simples e envolve correios de voz. O hacker primeiro instala o WhatsApp no seu próprio smartphone e tentar ativar uma conta com o número da vítima. O aplicativo, então, oferece duas formas de enviar um código de verificação: por SMS ou ligação.

O invasor, agindo em um horário em que a vítima não está ativa, escolhe a segunda. Ao ligar para o telefone da pessoa, o WhatsApp acaba por deixar uma mensagem no Correio de Voz — e tudo que o criminoso precisa fazer é invadir essa caixa postal, algo que não é difícil, visto que nem todo mundo costuma trocar a senha de acesso dela. Com o código de verificação em mãos, o invasor pode, então, tomar a conta.

Nesse caso, usar a verificação em dois fatores ajuda porque cria uma segunda barreira na ativação. Mesmo que o hacker consiga cadastrar a conta no próprio celular, ele ainda precisará informar a senha que foi definida pelo usuário — algo que o WhatsApp não libera.

Já o segundo método é mais complicado e pende mais para a engenharia social. Chamado de SIM Swap, o processo explora o fato de que operadoras podem transferir um número de telefone de um cartão SIM para outro. O cibercriminoso primeiro coleta dados da vítima, seja por meio de ligações ou e-mails enganosos. Depois, ele usa as informações para convencer um atendente de operadora a transferir o telefone para seu chip.

Ataques desse tipo conseguem até driblar alguns métodos de verificação em dois fatores, como os usados por Facebook, Twitter e outros serviços. Isso porque, com o telefone da vítima, o invasor consegue receber até mesmo mensagens SMS com códigos de autenticação que esses sites enviam. No entanto, não é o caso do WhatsApp — a combinação única é criada pelo próprio usuário, o que significa que a conta fica relativamente protegida.