PORTAIS

CURSOS

TWITTER

FACEBOOK

INSTAGRAM

Notícia

Phishing sofisticado no WhatsApp: análise técnica da fraude com falsa remessa da Meta

Inserido em 20 de outubro de 2025
Compartilhamento

A escalada das fraudes digitais demanda uma compreensão aprofundada das táticas empregadas pelos agentes maliciosos. Recentemente, um vetor de ataque notório tem sido observado no ambiente do WhatsApp: o envio de links fraudulentos, dissimulados sob a identidade da Meta, a controladora do aplicativo. Vamos entender como o vetor de ataque funciona.

O sucesso desta fraude reside na conjugação de técnicas de engenharia social e phishing direcionado. Os criminosos exploram a credibilidade institucional da Meta e o senso de urgência inerente a comunicações de segurança.

Fazendo-se valer de uma técnica de dissimulação do remetente (spoofing) e muito embora o número utilizado não pertença à Meta, a mensagem é meticulosamente elaborada para sugerir uma comunicação oficial. O texto frequentemente invoca a necessidade de uma atualização crítica de segurança, uma verificação urgente da conta do usuário ou mesmo a incompatibilidade da versão do aplicativo para visualizar certo tipo de conteúdo essencial. Esta tática explora a curiosidade e o medo de perda de acesso do usuário ao App de mensagens, elementos cruciais para neutralizar o pensamento crítico.

O cerne do ataque é o link fornecido na mensagem. Ao ser clicado, o usuário é direcionado a um website que se configura como uma réplica visualmente convincente de uma página oficial de login ou suporte do WhatsApp/Meta.

O objetivo dessa página falsa é a coleta de credenciais, onde o site falso solicita a inserção de informações sensíveis, como o número de telefone da vítima e, crucialmente, o código de seis dígitos da verificação de dois fatores do WhatsApp (OTP).

Em seguida há o que conhecemos como “ataque de tomada de conta” ou, no inglês, Account Takeover (ATO), que ocorre após a obtenção do OTP. É quando o agente malicioso é capaz de registrar a conta da vítima em um novo dispositivo. A sessão legítima do usuário é sumariamente encerrada, culminando no sequestro da conta do WhatsApp, tema que já foi abordado nesse espaço.

O sequestro da conta abre caminho para diversas atividades ilícitas, sendo a principal o “golpe do falso pedido de ajuda”, onde o criminoso se passa pela vítima para solicitar transferências financeiras aos seus contatos.

Para a mitigação e defesa contra este e outros ataques similares, a adoção de protocolos de segurança é imperativa e podemos destacar os seguintes:

1. Verificação em duas etapas: este é o mecanismo de defesa mais eficaz contra o Account Takeover no WhatsApp. Ao ativar o 2FA (Two-Factor Authentication), o usuário define um PIN alfanumérico que é solicitado para a ativação da conta em qualquer novo dispositivo, mesmo que o agente malicioso intercepte o código SMS (OTP). No entanto, ele se torna inócuo se a própria vítima distraidamente fornece essa senha ao golpista virtual.

2. Análise crítica da URL e do certificado SSL: a análise da URL (Uniform Resource Locator) antes do clique é fundamental. URLs oficiais da Meta e do WhatsApp seguem padrões previsíveis. Qualquer desvio (subdomínios suspeitos ou domínios não-Meta) deve ser um sinal de alerta. Adicionalmente, verificar a presença e a validade do Certificado SSL/TLS (indicado pelo “cadeado” na barra de endereço) é uma medida inicial de segurança, embora golpistas modernos frequentemente utilizem certificados válidos para conferir falsa legitimidade.

3. Educação em segurança: ter a consciência de que nenhuma empresa legítima pedirá credenciais ou OTPs por meio de links não solicitados é uma linha de defesa essencial. As atualizações legítimas de aplicativos são processadas exclusivamente através das lojas oficiais (Google Play Store e Apple Store).

Em resumo, o golpe do link falso da Meta no WhatsApp representa uma evolução do phishing, mesclando engenharia social sofisticada com exploração da superfície de autenticação do aplicativo. A defesa contra tal ameaça não reside apenas na vigilância da plataforma, mas primariamente na adoção proativa de mecanismos de 2FA (autenticação de dois fatores) pelo usuário e na manutenção de uma postura cética e analítica perante comunicações não solicitadas que exijam ações imediatas ou o fornecimento de códigos de segurança. A segurança digital é uma responsabilidade compartilhada que exige constante aprimoramento técnico e educacional, mas sobretudo atenção do usuário.

Allan Julianelli é gerente de TI da Associação do Ministério Público do Estado do Rio de Janeiro desde 1998 e policial civil do Estado do Rio de Janeiro desde 2002.

allan.julianelli@amperj.org

 

 

Últimas notícias

Onde estamos?

AMPERJ

Sede Social

Rua Rodrigo Silva, nº 26, 8º andar, Centro ( RJ) CEP: 20011-040 Telefone: (21) 2242-1232 ou (21) 2242-1899 ou (21) 2242-2195 E-mail: amperj@amperj.org

Sede Regional de Campos dos Goytacazes

Rua Antônio Jorge Young, nº 40, 2º andar – Campos dos Goytacazes CEP 28035-140 Tel.: (22) 2733-2817 E-mail: regionalcampos@amperj.org.br

Sede Regional Niterói

Rua Cel. Gomes Machado, nº 196, 5º andar – Centro, Niterói (RJ) Tel.: (21) 2718-9956 / 2718-9955

Sede Regional Itaperuna

Rodovia BR 356, Km 30, Costa e Silva – Itaperuna (RJ) Tel.: (22) 3824-3695 secretaria

Assessoria de Imprensa

Corcovado Comunicação Estratégica
E-mail: ascom@amperj.org
Telefones/WhatsApp:
Raphael Gomide: (21) 98734-5544

Instituto Superior do Ministério Público (ISMP)

Av. Graça Aranha, 57, 2º andar, Centro (RJ) CEP: 20030-002 Tel.: (21) 2240-0593 ismp@ismp.edu.br

Escola de Direito da Amperj (EDA)

Av. Graça Aranha, 57, 2º andar, Centro (RJ) CEP: 20030-002 Tels.: (21) 2240-0593 / 2220-6118 / 98889-2948 escoladedireito@amperj.org

Consultórios Odontológicos

Barra da Tijuca – Espaço Odonto

Rua Dalcídio Jurandir, 255, loja 144 Tel.: (21) 3328-5005

Ipanema – Tratdente
Rua Visconde de Pirajá, 330, sala 1114 Tel.: (21) 2215-2852 WhatsApp: (21) 99707-1114

Niterói – Prodents

Rua Tavares Macedo, 210, Icaraí, Niterói (RJ) Tel.: (21) 2711-6528

Copyright 2026 AMPERJ