Aprofiten la bústia de veu per robar les dades i estafar els contactes

Heu rebut un SMS de WhatsApp o una telefonada que ha acabat a la bústia de veu amb un codi de verificació i no ho heu demanat? Si la resposta és afirmativa, podríeu ser víctimes d’una nova estafa. Aquests darrers mesos, s’ha detectat un nou ciberatac per a robar comptes de WhatsApp sense que la víctima en sigui partícip directament.

L’Institut de Ciberseguretat espanyol (INCIBE) ha advertit d’aquesta pràctica que els estafadors fan servir per mitjà de la bústia de veu. L’objectiu és obtenir el control total del compte i suplantar la identitat de la víctima. D’aquesta manera, poden enganyar coneguts, amics i familiars i demanar-los, per exemple, diners.

Com actuen?

El cas que explica l’INCIBE és ben real: una dona adulta va rebre dues telefonades de números d’Alemanya i d’Anglaterra que no va respondre. Just després, va rebre un missatge de veu a la bústia on li facilitaven un codi de verificació d’inici de sessió de WhatsApp. També va veure que tenia una telefonada perduda a la bústia d’un altre número estranger. Quan se’n va adonar, havia perdut el compte de l’aplicació de missatgeria.

Segurament, els estafadors van arribar al seu número de telèfon per un altre atac a un amic de la víctima. El dia abans, relata l’afectada, ja havien fet servir aquest mètode amb ell.

Però, per què li havien pogut robar el compte amb un missatge a la bústia? Tot comença quan els ciberdelinqüents volen registrar el número de la víctima en un dispositiu diferent. En aquest moment, l’aplicació envia un codi de verificació per SMS o telefonada. Si la víctima no contesta, el codi s’enregistra a la bústia.

Com poden accedir a la meva bústia?

El principal problema de les bústies de veu és que moltes persones no hi tenen configurada una clau segura si hi volen accedir des d’un altre telèfon. Per tant, atacar-les no és gaire complicat. La clau acostuma a estar activada per defecte en totes les companyies amb un pin de fàcil accés: 0000, 1234…

Una vegada hackejat, els estafadors hi accedeixen des del seu dispositiu i aconsegueixen de robar el compte sense que la víctima hagi hagut d’interactuar en cap moment. Com que han obert una sessió des d’un altre lloc, la sessió de la víctima es tanca de manera automàtica.

I si ja m’han robat el compte?

Des d’aquest punt, és habitual que demanin diners a amics o familiars o difonguin enllaços maliciosos per a cometre més estafes. Per això és important actuar de pressa. Una manera de recuperar el compte és tornar-se a registrar amb el vostre número de telèfon. Allà rebríeu un nou codi de sis dígits. Si és el cas, Passarà igual que ha passat quan el ciberdelinqüent l’ha introduït en el seu dispositiu: es tancarà el compte que era obert.

Ara bé, podria ser que l’estafador hagués activat la verificació en dos passos. D’aquesta manera, no hi podríeu accedir immediatament i hauríeu d’esperar fins a set dies per poder-hi accedir sense PIN. És a dir, una setmana sense recuperar el compte.

En cas d’haver perdut el mòbil, és important blocar la targeta SIM i revisar les sessions obertes des de WhatsApp Web per tancar accessos no autoritzats.

Engany per missatge directe

A banda d’entrar a la vostra bústia de veu, els estafadors també fan servir un altre mètode, que és el més comú: enganyar la víctima directament perquè comparteixi el codi de verificació que rep per SMS.

És a dir, l’estafador ha intentat d’accedir al vostre compte i rebeu el codi que envia WhatsApp directament per SMS. Com que no sabeu què passa, els delinqüents ho aprofiten per enviar un altre missatge que pot dir: “Hola, em sap greu. T’he enviat per error un codi de sis dígits per SMS. Me’l pots passar? És urgent.”

Si ho feu, doneu accés al vostre compte als estafadors. Per això l’INCIBE insisteix que no s’ha de compartir mai cap codi, ni amb amics ni familiars.

Què podeu fer si us han robat el compte?

En la mesura que sigui possible, avisar els vostres contactes perquè no caiguin en cap enganyifa. També posar-se en contacte amb WhatsApp, per mitjà del mail habilitat per a aquests casos (support@whatsapp.com) o del delegat de protecció de dades de l’aplicació. Si amb aquests passos no heu rebut resposta en un mes, podeu recórrer a l’Agència de Protecció de Dades per denunciar la falta d’atenció en aquest dret.

També s’haurien de reunir totes les proves possibles i presentar una denúncia a la policia.

Prevenció

En aquests casos, la millor eina és la prevenció. Per tant, per evitar que accedeixin a la vostra bústia de veu, és important posar-hi una clau segura i evitar sèries numèriques evidents o comunes. Si algú es posa en contacte demanant-vos un codi, no el compartiu i no accediu mai a cap mena de xantatge. En aquest cas, l’INCIBES diu que és millor tallar la comunicació.

Al WhatsApp, hi podeu activar la verificació en dos passos per fer més complicat l’accés als delinqüents. Necessitaran una clau addicional (que també ha de ser segura) cada vegada que es registri el compte en un nou dispositiu.