Hack do WhatsApp em político é revelado em meio a onda de tentativas de ataques cibernéticos

Hack do WhatsApp em político é revelado em meio a onda de tentativas de ataques cibernéticos

Hack do WhatsApp: Uma ameaça crescente para autoridades governamentais

Uma audiência de estimativas do Senado revelou que a conta do WhatsApp de um parlamentar foi comprometida em março, levando ao bloqueio temporário do serviço de mensagens em dispositivos de desktop parlamentares. O hack, atribuído a um ator estatal estrangeiro, explorou técnicas de phishing para roubar códigos de verificação e obter acesso não autorizado a várias contas. Este incidente faz parte de uma tendência mais ampla de ataques cibernéticos direcionados a autoridades governamentais em todo o mundo.

O Departamento de Serviços Parlamentares (DPS) confirmou que as contas do parlamentar e de seus três assessores foram comprometidas em 6 de março, afetando dispositivos pessoais e gerenciados pelo DPS. Mike Webb, diretor de informações do DPS, testemunhou que o ataque aproveitou golpes de phishing para enganar os usuários a fornecer códigos de verificação, permitindo que hackers acessassem sessões do WhatsApp Web.

A escala da ameaça: Ataques de phishing em ascensão

Apenas no atual ano financeiro, o DPS detectou 46 casos de malware e aproximadamente 20.000 tentativas de phishing direcionadas a parlamentares e dispositivos departamentais. Esses números destacam a natureza implacável das ameaças cibernéticas enfrentadas por figuras políticas. Webb observou que campanhas de phishing patrocinadas por estados direcionadas a autoridades governamentais são uma "questão global genuína", com avisos semelhantes emitidos por países como Alemanha e Estados Unidos.

Como o phishing compromete contas do WhatsApp

Os ataques de phishing dependem de engenharia social para enganar os usuários a divulgar informações confidenciais. No caso do WhatsApp, os atacantes frequentemente se passam por suporte oficial ou contatos, solicitando um código de verificação que normalmente é enviado por SMS. Uma vez obtido, eles podem fazer login na conta da vítima em um navegador da web, obtendo acesso a mensagens e mídia. Este método contorna a criptografia, pois o atacante usa a sessão legítima da vítima.

Táticas comuns usadas por atacantes

  • Mensagens falsas de suporte pedindo códigos de verificação
  • Solicitações urgentes para clicar em links maliciosos
  • Personificação de contatos ou serviços confiáveis

Precedentes globais: Hacks de alto perfil no WhatsApp

Este não é um evento isolado. Em 2019, um spyware conhecido como Pegasus, desenvolvido pela empresa israelense NSO Group, foi usado para alvejar jornalistas e ativistas na Índia, incluindo defensores de direitos humanos e advogados. O spyware podia ser instalado por meio de chamadas perdidas do WhatsApp, sem qualquer interação do usuário. Da mesma forma, um político catalão teve seu telefone infectado com o spyware Pegasus, levantando preocupações sobre espionagem patrocinada por estados.

O papel de atores estatais estrangeiros

No caso australiano, o DPS indicou evidências do envolvimento de um ator estatal estrangeiro. Isso está alinhado com padrões vistos na Alemanha, onde uma campanha de phishing em larga escala alvejou usuários do Signal e WhatsApp, incluindo políticos de alto escalão como a presidente do Bundestag, Julia Klöckner. Os atacantes, supostamente atores estatais russos, se passaram pelo suporte do Signal para enganar as vítimas a revelar códigos de verificação.

Lições aprendidas: Fortalecendo defesas contra phishing

A melhor defesa contra phishing é a conscientização do usuário e práticas de segurança robustas. Autoridades e funcionários devem ser treinados para reconhecer solicitações suspeitas, ativar a autenticação de dois fatores e relatar incidentes prontamente. Organizações como o DPS agora tomam medidas imediatas, como bloquear serviços e envolver agências de segurança cibernética, para mitigar danos. À medida que as ameaças evoluem, a vigilância contínua e a cooperação internacional são essenciais para proteger processos democráticos.