Cele mai grave țepe de pe WhatsApp prin care poți pierde bani în România

Când am publicat articolul despre cum te-ar putea spiona serviciile române pe WhatsApp, un cititor a venit pe Facebook cu următorul îndemn: „Folosiți Telegram”. Din punct de vedere al intimității mesajelor, WhatsApp stă chiar bine. Folosește același protocol de criptare a conversațiilor ca Signal – platformă popularizată de Edward Snowden, în timp ce Telegram utilizează MTProto, detaliat de companie aici. Doar că nu-i perfect, după cum a fost evident anul ăsta. 

WhatsApp a început 2021 cât se poate de prost cu decizia de-a face share de date cu Facebook din conversațiile pe care le porți pe chat cu diverse businessuri. Ideea era simplă: să știe Facebook și mai bine ce reclame să-ți livreze. Ideea era, în același timp, teribil de proastă și extraordinar de prost comunicată. În fine, oamenilor le-a trecut, iar marea migrație către alte platforme nu s-a întâmplat.

Aici nu e însă vorba de criptare, securitatea informațiilor și cum îți sparg hackerii contul. E vorba, la propriu, de cum pierzi bani tocmai din cauza ta. Și poate am exagerat. Poate că tu te principi la digital, la internet, la fraude și țepe. Dar uită-te pe lângă tine. Unchi-tău nea Stelică știe? Mătușa Vasilica cunoaște? Maică-ta cum evită țepele? Dar văru-tău de clasa a șasea cum e ținut departe de cardul părinților? Pentru ei am făcut acest ghid și compilație de mecanisme utilizate nu neapărat de hackeri, ci de găinari și escroci. 

Anul trecut a fost unul special pentru țepe online. Au fost făcute mai multe cumpărături online și a fost evitat contactul. Altfel spus, a fost un teren fertil pentru aproape orice încercare a unui escroc să te facă de bani. În decembrie, aveam la vânzare un monopied destul de scump, dar destul de nepopular, așa că eram încântat de orice om care afișa o brumă de interes.

Unul dintre ei mi-a propus să plătească transportul, dar să fac livrarea prin „OLX”. Nu chiar acel OLX, care are mecanisme bune de ținut evidența livrării și banilor, ci altul. Mi-a dat link. După cum vezi în screenshotul de mai sus, e un link care n-are nicio treabă cu site-ul. Și ăsta e primul semnal: dacă ai un URL diferit de cel pe care îl știi, fie că e un caracter aiurea, fie că e scris ciudat – cum ar fi „olxro.trackings.su” e un moment bun să nu mergi mai departe cu tranzacția. Potențialul cumpărător mi-a dat site-ul ăsta și mi-a zis că dacă-mi bag datele cardului acolo, adică numărul, codul CVV de securitate (cele trei cifre de pe spate) și numele de pe el asta e. Îmi primesc banii. Doar că nu e așa și măcar ține minte asta. 

Nimeni niciodată n-are nevoie de datele de pe card ca să facă o plată în contul tău. Are nevoie de IBAN (eventual și codul SWIFT) și numele tău.

Mesajul de mai sus l-am dus mai departe și am verificat care-i treaba cu platforma aia. Așa că am apăsat „Primiți fonduri”, că-mi plac fondurile, dar mai ales să văd mecanismul prin care sunt lăsat fără ele. Așa că am trecut prin toți pașii, cu date false de card, și la final am aflat că banca mai are nevoie de informații. Odată ce-am dat „Continua” s-a terminat treaba. Dacă ar fi fost un card real, ce-am trecut la „Card Balance” ar fi zburat cu totul. 

Schema asta care implică OLX – și alte site-uri de anunțuri, cum ar fi Publi24 recent – a fost mega folosită la final de 2020 și început de 2021. Finalul de an e mereu unul propice pentru escrocherii, pentru că oamenii sunt în goana asta nebună după cadouri, chilipiruri și bani primiți rapid.

OLX a făcut până și un video în care a detaliat schema asta și are o relevanță și mai importantă în alt sens: clipul publicat pe 26 februarie a ajuns, în jumătate de an, la 28 de reacții și circa 110 mii de views. Adică aproape nimic pentru cât de important e subiectul și fix ignoranța e cea care produce cele mai mari daune.

O analiză comunicată de compania specializată în securitate cibernetică Kaspersky în iulie 2021 a arătat că cea mai mare parte a link-urilor rău intenționate (între decembrie 2020 și mai 2021) au fost trimise prin WhatsApp – 89,6 la sută. Telegram e abia la 5,6 la sută, iar Viber pe locul trei cu o pondere de 4,7 la sută. În procentele astea se vede și cât de mare e WhatsApp, cu circa două miliarde de utilizatori activi la nivel mondial.

Poate o să zici: „dar mută-te, patroane, pe Telegram și gata cu bătaia de cap”. Și asta e o afirmație atât stupidă, că frauda descrisă mai sus nu ține cont de platformă, cât și ineficientă, pentru că vrei ca printr-o astfel de aplicație să vorbești cu alții. Dacă ei nu-s acolo, vorbești în gol? Puțin probabil. 

Într-o analiză mai în detaliu, publicată în decembrie 2020 și actualizată cel mai recent în august 2021, Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) arată și cum escrocii au făcut chiar și pagini pentru firmele de curierat cu un serviciu fals de asistență. 

În prevenirea unor astfel de cazuri e sănătos să ignori orice platformă care nu-i aia reală – cum ar fi cea a băncii, a site-ului de anunțuri, a firmei de curierat etc., să NU dai datele cardului (nicio cifră dintre cele scrise pe el) și să nu crezi că ești tu ăla norocos. Și pe subiectul ăsta am altă manevră care se folosește de WhatsApp. 

O metodă care nu pare să eșueze când vine vorba de internet – și chiar viața reală – e să-i promiți omului un premiu. Sau că are șansa de-a câștiga. Scopul unei escrocherii de tipul ăsta e ca mesajul să ajungă la cât mai mulți oameni, iar atacatorii să colecteze cât mai multe date care să fie apoi vândute pe piața neagră cui vrea să plătească. Dar în ideea concursului, în analiza celor mai frecvente fraude, pe ultimele trei luni, Kaspersky a arătat că momeala cu premiul e folosită și ca atacatorii să ceară plata unei taxe, o sumă mică de altfel, ca să primească ce-au câștigat. Doar că banii rămân dați și premiul, evident, nu mai vine. Nici cadourile de la Amazon sau alte entități similare.

Același mecanism poate fi foarte bine aplicat pe oferte cu slujbe part time, mai ales în lunile astea de incertitudine. Și îți aduc în atenție și schema cu bilete de avion, abonamente mai ieftine sau diverse beneficii și reduceri. Ca să nu mai zic de țepele locale date în numele operatorilor telecom ca Vodafone sau Digi, în numele magazinelor ca Mega Image, Carrefour sau Ikea ori în numele companiilor aeriene low-cost ca WizzAir sau Ryanair. De regulă, scopul are două fețe: fie spam printre contactele tale și colectat de date, fie obținut bani pentru „primirea” pachetului sau a voucherului. 

O altă înșelăciune s-a legat de dezbaterea share-ului de date dinspre WhatsApp către Facebook. Infractorii au creat site-uri false către care atrăgeau oameni cu promisiunea că vor întâlni „străini frumoși”. Un scam clasic, dar care, iată, încă funcționează excelent mai ales într-o perioadă cu oarecare izolare cauzată de pandemie. Link-ul cu site-ul fals ducea către o autentificare falsă, cu aspectul paginii Facebook, și implicit furtul datelor. Asta și pentru că foarte mulți utilizatori încă n-au autentificare în doi pași pe Facebook. 

Aplicațiile false de WhatsApp au fost altă sursă de escrocare – și, da, sunt așa de câțiva ani buni. Nu știu de ce ai vrea să descarci alt WhatsApp, dar iată că unii sunt dispuși. O problemă masivă pe subiect a fost prezentată la începutul anului și de VICE. Iar firma de securitate cibernetică Bitdefender a detaliat cum e posibil ca aplicația respectivă să fi fost o unealtă de spionat utilizatori de iPhone. Dezvoltatorul ar fi firma Cy4gate și aplicația putea accesa și colecta ID-ul telefonului și codul IMEI. Cum ajungea aplicația fake să poată fi instalată pe iPhone? Ei bine, în ciuda securității telefonului și controlului exercitat de Apple, folosea un mecanism utilizat și de companie ca să instaleze alt software pe telefoane, independent de App Store. Ipoteza, în cazul acestui fake, e că a fost un atac targetat, eventual derulat de o agenție de informații a vreunui stat încă neidentificat. 

În aceeași notă, Kaspersky a descoperit recent o versiune modificată de WhatsApp, denumită FMWhasapp, care era folosită să infecteze telefoanele cu virusul Triada, de tip troian. Mai departe, putea descărca alți troieni și putea activa reclame, emite abonamente și intercepta SMS-urile utilizatorului. Iar de SMS-uri am mai zis: odată obținut accesul – sau interceptat mesajul – e extrem de ușor de exploatat conturi bancare și accesa profiluri de pe diverse platforme online. 

Oficial, FMWhasapp promitea că îți permite să ascunzi seen-ul, să personalizezi culorile aplicației și să modifici diverse pictograme din interfață. Și asta e o parte importantă a problemei, după cum a explicat Igor Golovin, expert Kaspersky. „Este greu pentru utilizatori să identifice potențiala amenințare, deoarece aplicația face efectiv ceea ce propune: adaugă caracteristici suplimentare. Cu toate acestea, am observat cum infractorii cibernetici au început să răspândească fișiere rău intenționate până și prin adblocker din astfel de aplicații.”

Soluția aici, ca în multe cazuri, e să folosești doar aplicațiile oficiale și, pe telefon sau tabletă, doar din magazinele oficiale. Fără învârteli, că e posibil să regreți. 

În fine, mai e loc de ceva pe listă: numere cu suprataxă. Când a intrat în România acum câțiva ani schema era cam așa: primeai apel – sau, mai bine zis, un beep – dintr-o țară exotică. Nu apucai să răspunzi și, eventual, sunai înapoi. Doar că ăla era un număr cu suprataxă și te trezeai la final de lună cu câteva zeci de euro în plus. Pentru același scop WhatsApp devine locul de distribuit spam cu un mesaj de tipul: ai cerut transferul numărului către alt dispozitiv. Schimbarea se va face în următoarele 24 de ore. Dacă n-ai făcut tu cererea, sună la [număr de telefon]. Cei mai mulți, fără să se gândească, sună și, hop, gata țeapa. 

Spre deosebire de alte aplicații, contul de WhatsApp e legat de numărul de telefon. Și asta e cea mai bună idee, dar și una excepțional de proastă. De fapt, e totul bine până când renunți la numărul de telefon și el intră în circuitul reciclării. Poate să pice la cineva care n-are nicio intenție nașpa sau poate să fie folosit mai departe de atacatori ca să se dea drept tu în fața unor oameni care nu te știu prea bine sau n-ai cum altfel să ia legătura cu tine decât prin acel număr de telefon, respectiv WhatsApp, și nu pot verifica dacă chiar ești cine zici că ești.

Schema asta se numește inginerie socială și odată obținut acces la un cont e ușor de exploatat alte numere. CERT-RO a detaliat mecanismul și, pe scurt, se întâmplă în trei pași posibili: obțin codul de autentificare chiar de la victimă, găsită printr-un cont de WhatsApp compromis; îl obțin printr-o fraudă de tipul „ai câștigat ceva, trimite codul promoțional primit pe SMS”, unde „codul promoțional” e fix codul de autentificare; codul e luat din mesageria vocală după ce a fost cerută autentificarea prin cod transmis vocal. Soluția simplă e să nu trimiți niciun cod primit prin SMS, mai ales când ți-l cere cineva căruia nu-i poți confirma identitatea. 

Contul spart poate fi folosit și pentru a cere bani. În România nu funcționează WhatsApp Pay, dar asta nu înseamnă că aplicația nu poate fi utilizată ca intermediar pentru transfer de bani. În analiza celor mai frecvente fraude, pe ultimele trei luni, Kaspersky a arătat că solicitarea de sume mici de bani e o practică des întâlnită. Cel mai des are legătură cu furtul contului. Și dacă mai sus era vorba de reciclare, în România a fost și cazul utilizării cartelelor SIM prepay pe care a fost cerut numărul de telefon al victimei. Odată obținut accesul la număr și la SMS, accesul în alte platforme, inclusiv în WhatsApp, se face fără probleme.

Toate astea de mai sus sunt dintre cele mai serioase și cu urmări grave când vine vorba de câți bani poți pierde. Dar nu sunt toate. La fel de bine trebuie să fii atent la: orice atașament dubios, poze necerute de la oameni pe care nu-i știi, mesaje cum că trebuie să plătești pentru WhatsApp, cum că se închide la o anumită dată (un spam clasic încă din vremea Yahoo Messenger) sau că e suficient să dai click pe un link ca să-ți cunoști iubirea sau să îți primești averea. 

Încă nu-s bani pe jos și premii pe care le-ai câștigat din concursuri la care nici nu știai că ai participat. Aproape toate astea țin de tine și de cât de departe merge naivitatea ta. Și, da, WhatsApp nu-i impenetrabilă. Au fost cazuri în care vulnerabilitățile aplicației au produse daune, dar măcar să te asiguri că ce ține de tine iei în serios.