Basta inserir a palavra “espionar” em um mecanismo de busca e, entre outras opções, sugere-se “espionar WhatsApp”, obtendo-se um grande número de resultados. Mas, antes de acessar, é importante saber se você pode realmente confiar em todas as opções que prometem espionagem do WhatsApp de outra pessoa, se essas “ferramentas” cumprem o que prometem e quais são os riscos de infecção por malware. O laboratório da ESET, empresa líder em detecção proativa de ameaças, analisou algumas opções que prometem espionar o WhatsApp e compartilha alguns resultados sobre segurança da informação.
“Dado o número de usuários que estão dispostos a tentar algumas das muitas alternativas que aparecem nos primeiros resultados do Google ao procurar como espionar o WhatsApp ou o telefone de outra pessoa, nos pareceu importante analisar algumas dessas opções para aumentar a conscientização sobre os riscos para a privacidade e segurança de tentar essas alternativas. Em primeiro lugar, é importante mencionar que os sites e extensões que analisamos não cumprem o que foi prometido e buscam enganar a grande quantidade de usuários que se lançam na web em busca de opções para espionar o telefone de outra pessoa. Mesmo que não tenhamos detectado a distribuição de ameaças de computador que tentam comprometer os dispositivos dos usuários (a maioria deles busca distribuir publicidade), muitas têm potencial para isso”, afirma o pesquisador da ESET na América Latina, Daniel Barbosa.
A ESET analisou sites que oferecem espionagem no WhatsApp, extensões de navegador que prometem o mesmo e, finalmente, aplicativos:
Sites que oferecem a espionagem do WhatsApp: eles prometem acessar todas as informações da conta gratuitamente. Na maioria das vezes, exigem o número do WhatsApp da pessoa a ser monitorada e qual sistema operacional o usuário que deseja espionar a outra pessoa está usando.
Todos os sites analisados têm praticamente a mesma estrutura e o final é muito semelhante: uma tela que simula que muitos comandos estão sendo executados para acessar as informações do número de telefone fornecido, mas na realidade não executa nada. São apenas textos já programados na página e nenhum tráfego é gerado quando as informações são inseridas nos campos.
“Embora alguns desses sites exibam imagens que podem parecer convincentes aos olhos crédulos, o que esses sites oferecem é uma mentira. Seria um dano irreversível à imagem do WhatsApp se os sites pudessem realmente acessar as informações criptografadas de seus clientes simplesmente digitando um número de telefone”, completa o especialista.
Até o momento, nenhum código malicioso foi encontrado nesses sites, então o objetivo de quem oferece o serviço é coletar informações. Para utilizar o site é necessário inserir um número de telefone e indicar o sistema operacional utilizado. Essas informações podem ser úteis se os criminosos quiserem espalhar ameaças a alvos específicos por meio de um número de telefone. As informações do sistema operacional também podem ser usadas para alterar posteriormente o site para espalhar malware específico para uma determinada versão do Windows, por exemplo.
Para ter acesso aos supostos dados coletados da conta para espionagem, é necessário seguir alguns passos adicionais que levam a vários sites, também sem código malicioso aparente, mas cheios de publicidade. Para cada acesso, os criminosos ganham uma pequena quantia de dinheiro com publicidade, e esses acessos simples alimentam a indústria do crime cibernético.
Extensões para o navegador: foi analisada uma extensão para o Chrome que também afirmava ser capaz de acessar as informações de uma conta do WhatsApp. A descrição disponibilizada na extensão indica que os usuários devem instalá-la no navegador ou consultar um site que fará o mesmo. É, claro, outra falsa promessa.
Instalar a extensão não é um código malicioso, mas outro gerador de cliques. Ela mostra uma pequena página da web em forma de botão que direciona para um endereço que oferece falsos serviços relacionados ao YouTube, como aumentar o número de assinantes de um canal, o número de curtidas, favoritos e outros. Para isso, basta preencher a URL do canal que deseja este serviço. Ao escolher qualquer uma das opções, o site pede para fazer uma verificação, que consiste em responder um questionário em páginas cheias de anúncios. Esses anúncios são atualizados a cada pergunta, aumentando os lucros para os criminosos que procuram monetizar suas campanhas.
Aplicativos: os apps de monitoramento de smartphones são oferecidos no mercado como ferramentas para aumentar a segurança dos dispositivos, permitindo que seus proprietários os gerenciem remotamente. A ESET refere-se a dois tipos principais de aplicativos: o mais genérico, e geralmente gratuito, e os aplicativos de monitoramento e controle.
Existem muitos aplicativos que oferecem uma função de clonagem ou rastreamento, mas na realidade eles só usam a interface de um aplicativo para usar uma função já disponível no próprio WhatsApp, como o uso do WhatsApp web. Existem também aplicativos que rastreiam a atividade dos contatos on-line, fornecendo um determinado nível de informação, como um histórico de quando os contatos estavam on-line e off-line. No entanto, o risco que carregam é semelhante ao das extensões do navegador, com o agravante de que o risco está vinculado ao telefone.
No caso de controle dos pais, em que há um dispositivo que precisa ser monitorado e que tem as permissões necessárias para usar esses tipos de aplicativos: como escolher um aplicativo adequado quando há tantos aplicativos potencialmente perigosos que não cumprem o que prometem? A ESET compartilha estas diretrizes para ajudá-lo a fazer sua escolha:
- Tenha cuidado com ferramentas ou serviços on-line populares: cuidado com as soluções que prometem que funcionarão com extrema facilidade, sem a necessidade de instalar nada, e tudo diretamente do navegador. Para que uma ferramenta realmente permita o monitoramento exclusivamente pelo navegador, seria necessário explorar uma vulnerabilidade.
- Proteja-se: lembre-se sempre de usar uma solução de segurança nos dispositivos (computador, smartphone, tablet etc.). Isso permitirá que várias camadas de proteção evitem que uma ameaça comprometa um dispositivo se detectar um malware enquanto procura o aplicativo que você realmente deseja.
- Investigue: sempre haverá ofertas das chamadas soluções milagrosas que prometem fazer algo que parece impossível e, na verdade, muitas vezes é impossível. Essas ofertas nunca serão oferecidas por empresas sérias. Procure a reputação de quem oferece um produto ou serviço, entre no site da empresa, veja se tem serviço de atendimento.
