Novo golpe do WhatsApp usa compartilhamento de tela pra roubar contas bancárias

Especialistas em cibersegurança da ESET descobriram um novo golpe no WhatsApp. A brecha utilizada por cibercriminosos agora envolve a funcionalidade do aplicativo de compartilhamento de tela. Os atacantes estão fazendo chamadas de vídeo com as vítimas, pedindo que elas compartilhem a tela e instalem aplicativos como AnyDesk ou TeamViewer – com o objetivo de conseguir acesso à tela e configurações do dispositivo. Se a vítima colabora, acaba ficando sujeita a vazamento de dados, roubo de credenciais e até mesmo perdas financeiras.

Batizado informalmente de “screen-sharing scam”, esse tipo de fraude usa a função legítima de compartilhamento de tela durante videochamadas do WhatsApp para observar em tempo real tudo que acontece no celular da vítima. Diferente de malwares que precisam infectar o dispositivo, aqui a própria pessoa autoriza o acesso — acreditando estar resolvendo um problema urgente.

Como funciona o golpe

Imagine o seguinte cenário: você recebe uma videochamada de um número desconhecido, geralmente os criminosos usam um esquema de spoofing de número local para parecer mais legítimo. A pessoa do outro lado se passa por um representante do banco, do suporte do WhatsApp, da Meta, ou até finge ser um parente seu em apuros. A câmera deles costuma estar desligada, escura ou desfocada, o que já é um alerta, mas muita gente não percebe isso no calor do momento.

Então começam as ameaças e o senso de urgência. O criminoso diz que a vítima tem uma cobrança não autorizada no cartão, que alguém acessou a conta de outro dispositivo, que ela ganhou um prêmio que precisa verificar urgentemente, ou que sua conta vai ser suspensa. O objetivo é deixá-la em pânico para que ela tome alguma ação sem pensar direito.

Com o estado de urgência declarado, eles pedem para a vítima compartilhar a tela do celular, alegando que precisam “ajudar remotamente” a resolver o problema. Às vezes eles até mandam instalar aplicativos legítimos de acesso remoto como AnyDesk ou TeamViewer. E quando a vítima faz isso, pronto, eles conseguem ver tudo que aparece na tela em tempo real. Códigos de verificação que chegam por SMS, mensagens de WhatsApp, senhas, códigos 2FA, tudo fica visível para eles.

Com visibilidade total, os criminosos conseguem sequestrar a conta do WhatsApp usando os códigos de verificação que veem chegando. Mas o estrago vai muito além disso. Eles podem capturar senhas, pedir para que a vítima abra o aplicativo do banco e fazer transferências achando que está “resolvendo o problema”, ou até instalar malware tipo keylogger no seu dispositivo. 

Depois disso, eles drenam as contas bancárias das vítimas, roubam suas redes sociais e outras contas online, e ainda por cima podem se passar pela vítima para aplicar golpes em amigos e familiares.

O que torna esse golpe particularmente eficaz é a combinação de três elementos de engenharia social: confiança, que eles constroem através da videochamada e se passando por uma entidade confiável; urgência, criada pelo problema fabricado; e controle, que você concede quando compartilha a tela. Já há casos documentados no Reino Unido, Índia e Hong Kong, sendo que em Hong Kong uma vítima perdeu 5,5 milhões de dólares de Hong Kong, o equivalente a cerca de 700 mil dólares americanos.

Como se proteger

Esse golpe depende muito mais de manipulação psicológica do que de habilidades técnicas avançadas. A ESET recomenda algumas práticas essenciais que funcionam como barreiras contra esse tipo de ataque.

• Nunca compartilhe sua tela com desconhecidos. Isso vale especialmente durante ligações não solicitadas. Se alguém ligar dizendo ser do banco, da operadora, do WhatsApp ou de qualquer empresa, desligue imediatamente e entre em contato com a instituição através de um canal oficial que você mesmo verificou — nunca use números ou links que a pessoa da ligação passar.
• Empresas legítimas jamais pedem dados sensíveis por telefone. Senhas, códigos de verificação, PINs ou detalhes de cartão nunca devem ser compartilhados em ligações ou mensagens não solicitadas. Se alguém pedir esse tipo de informação, pode ter certeza de que é golpe. Bancos e serviços online já têm sistemas próprios de segurança e nunca vão pedir que você compartilhe dados sensíveis dessa forma.
• Não instale aplicativos de acesso remoto a pedido de estranhos. Ferramentas como AnyDesk, TeamViewer ou similares são legítimas e úteis em contextos profissionais, mas nas mãos de criminosos podem dar controle total sobre seu dispositivo. Se alguém insistir que você precisa instalar algo assim pra resolver um problema, é sinal vermelho gigante.
• Resista ao impulso de agir imediatamente. Quando receber qualquer tipo de informação alarmante por telefone, respire fundo e não aja por impulso. Os golpistas contam exatamente com essa pressa que te impede de pensar direito. Desligue a ligação e verifique a informação de forma independente. Se disseram que tem problema na sua conta bancária, ligue você mesmo pro banco. Se um parente está em apuros, entre em contato direto com ele por outro meio.
• Ative a verificação em duas etapas do WhatsApp. Conhecida no app como “two-step verification”, você encontra essa opção em Configurações, depois Conta, e então Verificação em duas etapas. Ative ou configure um PIN. Assim, mesmo que criminosos consigam seus dados de login, vão precisar desse segundo fator pra acessar sua conta, o que dificulta bastante o roubo.

Para acompanhar mais casos como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.