Lançado na semana passada no Brasil, o WhatsApp Pay, recurso que permite realizar pagamentos pelo aplicativo de mensagens instantâneas, tem atraído muita atenção: não há cobrança de taxas para enviar ou receber dinheiro e as transações podem ser feitas usando cartão pré-pago, de débito ou múltiplo com função débito.

Mas quão segura é a ferramenta? Especialistas da consultoria em cibersegurança Kaspersky analisaram o serviço para responder à questão, além de sugerir dicas para os usuários garantirem maior proteção ao ativar a novidade.

O primeiro ponto identificado pela empresa é que o app utiliza o sistema P2P (conhecido como ponto-a-ponto) como meio de pagamento. Assim, a transferência do dinheiro é feita de um usuário ao outro, sem deixar saldos disponíveis em um e-wallet ou em uma conta digital - métodos estes que poderiam ser alvo dos criminosos.

Outro aspecto positivo é a exigência de autenticação da instituição financeira quando o usuário adiciona um cartão de débito como método de pagamento. Feita com um código temporário, conhecido como OTP (one-time-password), a autenticação é enviada por e-mail ou SMS e é um passo obrigatório para se completar o processo. Também é possível configurar um código PIN numérico ou biométrico, que deve ser informado no ato do pagamento.

Além disso, a migração desse recurso de pagamento não ocorre automaticamente caso a conta de WhatsApp do usuário for instalada em um novo dispositivo; o registro no WhatsApp Pay é desativado e os dados financeiros devem ser recadastrados.

"Essa medida evita que os criminosos comprometam o cartão de débito da vítima, caso a conta seja roubada. Infelizmente esse golpe, tecnicamente chamado de account takeover, é o mais comum no Brasil e era a principal preocupação desde que rumores do lançamento do serviço por aqui surgiram", afirma Fabio Assolini, analista de segurança da Kaspersky no Brasil.

O especialista explica ainda que o golpe que rouba a conta do WhatsApp usa técnicas de engenharia social (lábia) para convencer a vítima a informar o código de instalação temporário (OTP), que é enviado por SMS quando uma instalação é iniciada. "Caso a vítima informe a sequência de seis números, os cibercriminosos conseguem concluir a ativação da conta no novo aparelho e passam a ter acesso às mensagens e contatos da pessoa. Eles se aproveitam disso para entrar em contato com amigos e familiares e pedir dinheiro emprestado. Ter um método de transferência financeira na plataforma poderia potencializar essa prática. Felizmente, não identificamos em nossa análise uma maneira de explorar o WhatsApp Pay nesse golpe", explica Assolini.

Mesmo assim, existe um tipo de ataque do qual não há como se proteger, o SIM swap, que possibilita o roubo de uma conta de WhatsApp ao transferir o número do telefone para um novo chip. Outra preocupação que o usuário deve ter ao instalar a ferramenta é com a proteção de seu aparelho. "Existem programas maliciosos financeiros que conseguem realizar transferências bancárias acessando remotamente o dispositivo da vítima. Basta uma atualização desse malware para que eles façam uma transação usando o app de mensagem. Mas aqui a maior responsabilidade de segurança está do lado da pessoa", destaca o analista.

Como se proteger

Para você se proteger de possíveis golpes no WhatsApp e preservar suas informações no WhatsApp Pay, os especialistas recomendam:

- Reativar sua conta do WhatsApp o mais rápido possível em caso de perda ou roubo do aparelho. Esse processo desativará o WhatsApp Pay no smartphone perdido ou roubado. Caso não o faça, o golpista terá a chance de cometer fraudes com sua conta;

- Faça uso de um PIN numérico na autenticação dos pagamentos. O processo é feito com o sistema operacional do smartphone e usa a digital já cadastrada. Em caso de roubo do aparelho, especialmente em situações em que a tela não está bloqueada, um golpista pode cadastrar uma nova digital, possibilitando assim o acesso ao WhatsApp Pay e, consequentemente, o envio de dinheiro usando o cartão cadastrado;

- Tenha uma solução de segurança instalada no dispositivo para bloqueá-lo em caso de perda ou roubo e, assim, se proteger contra golpes que acessam remotamente o aparelho, como os trojans Ghimob e BRata, que podem realizar transações financeiras sem o conhecimento do proprietário;

- Ative os recursos de proteção do WhatsApp, principalmente a autenticação de dois fatores, para diminuir a chance de fraudes. Outros recursos importantes são a adição de um e-mail em seu cadastro, bem como a ativação do bloqueio do app por meio de um PIN numérico. Essas ações ajudam a diminuir a chance de fraudes e ataques de roubo de contas.