Onada de robatoris de comptes de WhatsApp: per què ho fan i com evitar-ho

"Quan em va arribar l'SMS del germà d'una amiga vaig pensar... 'Buf! Què és això?' Ho vaig pensar eh?! Però esclar, quin és el quid de la qüestió? Que t'ho envia un contacte teu, i no dubtes d'un contacte teu." És la reflexió de la Vanessa, una usuària de WhatsApp víctima de la nova onada de robatoris de comptes d'aquesta aplicació.

Ella va caure en el parany. Va respondre a un contacte de WhatsApp que li demanava un codi de 6 dígits que, segons deia, li havia enviat per error.

"Vols solucionar-li el problema i el que fas és: captura de pantalla, li passes el codi, i l'endemà, quan em desperto i agafo el mòbil tinc trucades molt rares de les 3 de la matinada i em surt el missatge que tinc el WhatsApp bloquejat", assegura la Vanessa.

Els hackers li havien robat el compte de WhatsApp i a partir d'aquí van fer servir els seus contactes per estendre l'estafa. La següent de picar va ser l'Anna, una amiga seva. En aquest cas, els hackers li van suplantar la identitat. Van escriure en alguns xats en nom seu, van esborrar-li grups i finalment van avisar els seus contactes que es canviava de número de telèfon.

"A partir d'aquí em començo a espantar. Em començo a espantar perquè dic: 'No sóc propietària de la meva intimitat. Jo no estic fent tot això!' En aquell moment sóc conscient que m'han robat la meva identitat. Jo el que dubto és amb quina finalitat es fa això. Què és el que volen de mi."

Nova onada d'una estafa que no és nova

Aquest ciberatac amb robatoris en cadena de comptes de WhatsApp no és nou. Fa dos anys va arribar a Catalunya, però amb la pandèmia s'estan multiplicant els usuaris afectats. Els hackers aprofiten un mecanisme del mateix WhatsApp per traspassar el teu compte si et canvies el número de telèfon per segrestar-te el perfil. No cal tenir coneixements tècnics avançats.

Els hackers en tenen prou fent creure a les víctimes que la persona que envia el missatge és un contacte teu. És un atac de "phishing" i es val de l'enginyeria social, fent servir un mòbil prèviament infectat per continuar l'estafa.

Extorquir o vendre bases de dades al millor postor

L'objectiu dels hackers pot ser extorquir les víctimes per aconseguir diners a canvi de recuperar el compte, fer-los trucades amb càrrecs elevats aprofitant la vulnerabilitat de les víctimes o les mateixes dades personals dels comptes.

"En aquest cas en concret no estic veient que hi hagi moltes extorsions. Realment el que més estic veient és que el que estan fent és emmagatzemar números de telèfon i informacions. Pot ser que les venguin a un grup delictiu o que ho posin a la 'dark web' en venda. Hi ha moltíssimes bases de dades que estan a la 'dark web' i que es revenen i es revenen i es revenen", explica Selva Orejón, directora executiva de la consultora de ciberseguretat Onbranding.

Un cop t'han hackejat el compte, aquestes bases de dades, lluny de ser el final, poden ser l'inici de noves estafes en què s'extorqueixi les víctimes. I amb les dades personals obtingudes els ciberdelinqüents poden amagar la seva identitat i usar-les en tot tipus d'actes delictius.

Com en els segrestos informàtics, els experts en ciberseguretat recomanen a les víctimes no pagar mai per recuperar el compte i denunciar-ho als Mossos d'Esquadra, per evitar que el nom o número de telèfon es puguin relacionar amb la comissió de delictes.

Prevenir abans de curar

Evitar estafes com aquesta és a les nostres mans. Abans de patir un atac com aquest es pot activar la verificació en dos passos al WhatsApp a través de la Configuració de l'aplicació, accedint a les opcions de Privacitat i Seguretat del compte. A partir d'aquell moment, periòdicament es demanarà un codi de seguretat a l'usuari. Si no es coneix, el compte queda bloquejat.

Així, si cau en mans alienes, el hacker hi perd ràpidament l'accés. A més, tenir aquest doble sistema de verificació impedeix al ciberdelinqüent que el pugui activar, cosa que complica el procés i la durada del procés per recuperar el compte.  

Per a Orejón, la nova onada de segrestos és una bona oportunitat per aprendre les possibilitats de les eines digitals que portem al mòbil:

"Ara mateix és com si estiguéssim conduint un Maserati o un Ferrari i no sabéssim per quines autopistes l'hem de conduir. Cal saber què fer per evitar un ciberatac i què hem de fer si en patim un."