Embora a verificação em duas etapas adicione uma camada extra de proteção e impeça boa parte dos ataques, existem alguns cenários em que a conta do WhatsApp pode ficar temporariamente inacessível ou ser transferida para outra pessoa.
Se o invasor obtiver o código de verificação recebido por SMS e usá-lo em outro telefone, o WhatsApp será desconectado. Porém, ele não conseguirá finalizar a ativação do WhatsApp sem o PIN.
Em outras palavras, a confirmação em duas etapas não impede o início da fraude, mas sim a concretização dela. Se a vítima não souber disso, ela pode se enganar achando que a invasão aconteceu mesmo quando o recurso protegeu a conta.
Se o invasor realmente conseguiu roubar a conta – desconectá-la do telefone original e ativá-la em outro aparelho para mandar mensagens –, a história é diferente. Para que isso aconteça, é necessária uma violação do mecanismo de autenticação em duas etapas.
Vejamos cada situação em que isso pode ocorrer:
1-Se o criminoso já obteve acesso ao e-mail da vítima (com uma página falsa para roubar o usuário e a senha, por exemplo, ou através de um vazamento de dados e senha repetida), o e-mail pode ser usado para redefinir a confirmação em duas etapas. Por essa razão, é obrigatório proteger a conta de e-mail cadastrada no WhatsApp para garantir a segurança da conta.
2-Existem casos em que criminosos conseguem transferir a linha para outro chip e receber o SMS da ativação diretamente. Nesses casos, o WhatsApp será desconectado e não será possível reativá-lo de imediato. Desde que a linha seja recuperada em sete dias, o criminoso não poderá acessar a conta do WhatsApp sem saber o PIN da confirmação em duas etapas. Após sete dias, o WhatsApp deixará de exigir o PIN. Se o número ainda estiver sendo controlado por outra pessoa, ela poderá ativar o WhatsApp. É possível perceber quando isso acontece, pois o chip no telefone deixará de funcionar e não será possível fazer ligações nem acessar a rede móvel de dados.
3-Pode ser possível capturar a senha de confirmação em duas etapas por meio de um aplicativo espião. Para evitar apps espiões, baixe aplicativos apenas nas lojas oficiais.
4-Há diversos casos em que criminosos aplicam fraudes que convencem as vítimas a fornecer também a senha da confirmação em duas etapas. O PIN não pode ser informado a ninguém.
O PIN pode ser adivinhado, principalmente se o número tiver relação com algum dado pessoal.
Acesso por WhatsApp Web
É preciso ter cuidado para não confundir o roubo da conta do WhatsApp com outros tipos de violações.
Quem deixa o celular desbloqueado pode facilmente ter a sua conta “clonada” por meio do WhatsApp Web, por exemplo. Mas isso não é um roubo da conta do WhatsApp, porque ela permanece ativa no celular original.
Isso não quer dizer que a invasão do WhatsApp Web não seja grave. Pelo contrário: o WhatsApp Web revela todas as mensagens anteriores que não foram apagadas – algo que não acontece com o simples roubo da conta. Normalmente, o roubo da conta do WhatsApp só dá acesso aos grupos.
Como qualquer senha, o PIN do WhatsApp não pode ser uma sequência de números fácil de adivinhar, como a data de nascimento ou outra data importante. Não é impossível que os criminosos consigam dados pessoais associados ao número de telefone.
Nossa segurança é sempre uma soma de fatores e um processo constante. Não adianta configurar a confirmação em duas etapas no WhatsApp e não ativar essa tecnologia na sua conta Google/Apple ou outra conta de e-mail que você usa para proteger o WhatsApp, por exemplo – porque aí a conta de e-mail se torna o elo mais fraco.
Por outro lado, tomando alguns pequenos cuidados em tudo que fazemos – ao baixar aplicativos, ou ao configurar nossas senhas, ou ao não demorar para reagir quando notarmos um algo de errado com o chip – tem-se uma segurança muito maior do que apostando todas as fichas em um único recurso de proteção.