Uma pesquisa realizada em 2020 pela empresa de segurança na internet PSafe sugere que 8,5 milhões de brasileiros já tiveram seu WhatsApp clonado em decorrência de algum golpe. Até então, a maior preocupação dos usuários era com vazamento de conversas privadas. Mas a pesquisa revela que 26,6% relataram envio de links com golpes para outros contatos e 18,2% disseram que os criminosos usaram a clonagem para solicitar dinheiro aos amigos. É nessa na área que o WhatsApp Pay ainda não deu uma resposta clara sobre como os usuários vão se proteger.

Para Mauricio Paranhos, diretor de operações da Apura, empresa que desenvolve sistemas e presta consultoria sobre segurança cibernética, a capilaridade do app é o risco maior, mas a plataforma é segura, contanto que usuários cumpram os requisitos básicos de segurança. “O WhatsApp é mais um meio de pagamento, mas por usar os sistemas do Facebook Pay e ter parcerias com uma dezena de bancos, ele consegue chegar em muito mais pessoas. Logo, é preciso considerar que no meio de todo esse universo de transações haverá riscos como em outros métodos”, explica Paranhos, que afirma que usuários devem habilitar senha e biometria para autorizar uma transação e que é recomendável que os usuários tenham a autenticação em dois fatores habilitada — espécie de segunda senha do WhatsApp.

Para ele, entre os principais riscos está o golpe em que bandidos ligam, fazem um trabalho de engenharia social e acabam pedindo o código de autenticação do WhatsApp enviado por SMS, como se fosse o código para ganhar um benefício ou validar uma promoção, por exemplo. “Não passe códigos recebidos por SMS para ninguém, habilite a autenticação em dois fatores. Quem segue essas recomendações e boas práticas minimiza riscos”, disse.

Outro fator que pode sujeitar os usuários à vulnerabilidades é a falta de familiaridade com esse tipo de serviço. Mesmo o Pix, lançado em outubro de 2020, ainda levanta dúvidas sobre o registro da chaves, o uso em apps que não são de bancos e, ainda mais recente, a aplicação em substituição aos boletos. Para Denis Riviello, Head de Cibersegurança da Compugraf, empresa provedora de soluções de privacidade de dados, os golpes devem se valer do lançamento do novo recurso. Ele afirma que a tendência é comum, pois criminosos tendem a se aproveitar da falta de manejo dos usuários com as novidades.

“Uma dica é: desconfie sempre que estiver diante de uma situação inesperada como uma cobrança, por exemplo. Ligue para um telefone do banco ou da tal cobrança que você conhece e confirme para ter certeza que ela é devida”, aconselha Riviello, que também enfatiza a importância de pesquisar e procurar sobre qualquer empresa antes de realizar alguma compra pelo WhatsApp.

Armadilhas recorrentes, por assim dizer, ainda devem ficar no radar. Entre elas, o envio de links de sites falsos em mensagens enganosas. Apesar de ser uma prática conhecida, quando se trata da imitação de um serviço que foi realmente contratado, a desatenção pode abrir uma oportunidade para o hacker. Claudio Bannwart, diretor regional da Check Point Brasil, empresa provedora de cibersegurança, recomenda que usuários nunca baixem as ressalvas com os links recebidos por WhatsApp ou SMS. “Isso pode acabar levando a instalação de algum malware ou programa malicioso”, explica ele. “O intuito pode ser roubar informações ou até a senha enquanto você estiver digitando durante a transação.”

Dentro do aplicativo, detalhes sobre a conta do usuário estão totalmente criptografadas e protegidas. Mesmo em casos de roubo ou clonagem, não há como realizar transações sem a senha, como em um aplicativo comum de banco. “O usuário não pode deixar a senha aberta em algum outro app, como o aplicativo de Notas ou de Lembretes, por exemplo, porque aí sim o criminoso poderá descobri-la e realizar transações”, alerta Bannwart.

No próprio WhatsApp, é possível habilitar algumas funções de privacidade que podem trazer mais tranquilidade, recomenda Bannwart. Indo em configurações, por exemplo, é possível habilitar uma opção que só adiciona o usuário em grupos que ele permite. “Existem certas seguranças do próprio aplicativo, mas o ponto principal é sempre transferir o dinheiro para a pessoa certa e proteger sua senha. Isso serve para qualquer aplicativo de transação financeira, e não só o WhatsApp”, finaliza o especialista.

Quem garante a segurança das transferências e pagamentos por WhatsApp Pay?

Apesar de se assemelhar ao PIX, o WhatsApp Pay não funciona como uma carteira digital e nem é responsável por gerir qualquer conta de pagamento, serve apenas como uma ponte entre as instituições financeiras. Neste primeiro momento, além dos usuários possuírem um limite de envio de 1 mil reais por transação e recebimento de até 20 pagamentos por dia no limite de 5 mil reais por mês, é preciso ter cartões de débito, pré-pago, ou crédito e débito de um dos bancos parceiros — Banco do Brasil, Banco Inter, Bradesco, Itaú, Mercado Pago, Next, Nubank, Sicredi e Woop Sicredi, com as bandeiras Visa e Mastercard. Os pagamentos são intermediados pela Cielo.

E será por meio da tecnologia de tokens que as instituições tentarão controlar uma outra parte das tentativas de fraude dentro do mensageiro — principalmente as que não envolvem engenharia social para ocorrerem. Um exemplo de como funciona o token foi dado pela Visa. A empresa é proprietária da solução Visa Cloud Token, que foi aplicada primeiramente no Brasil, e que protege e remove informações confidenciais de pagamentos, convertendo em dados anonimizados e armazenando-os com segurança. Uma vez na nuvem, eles podem ser ativados em todos os dispositivos do usuário e diretamente integrados aos bancos.

Como o WhatsApp Pay usa uma solução similar que é dividida entre todas as operadoras financeiras envolvidas no projeto, espera-se ser possível manter as transações seguras com o uso da biometria ou de soluções que avaliem incongruências em tempo real.

Nesse caso, a confirmação de dados divergentes funciona assim: quando uma transação é iniciada, o WhatsApp pergunta ao banco se aquelas informações são, de fato, do usuário. O banco, na sequência, vai até o usuário utilizando, por exemplo uma notificação via app, e pede a ele que confirme um dado aleatório, esperando bloquear um embusteiro que não tiver todas as informações cadastrais.

Segundo a Visa, os token removem, principalmente, os riscos operacionais relacionados à proteção de dados para os comerciantes, atestando se um cliente é uma pessoa real. A solução também permite que a Visa atualize os recursos de segurança mais recentes, tanto para a rede quanto para a instituição financeira, sem depender de um download do usuário, por exemplo. “Garantir a segurança está no DNA da Visa e essa também foi uma das premissas para que topássemos participar do projeto com o WhatsApp”, afirma Percival Jatobá, vice-presidente de Inovação e Soluções da Visa do Brasil.

A expectativa da bandeira para um uso massivo da funcionalidade foi confirmada por uma pesquisa feita em março, pela Morning Consult, onde 79% dos entrevistados afirmaram querer usar diariamente o novo serviço de pagamento. O desafio é fazer com que segurança não seja a razão para perda do interesse.

Por André Lopes, Laura Pancini, Thiago Lavado - Exame