O WhatsApp virou alvo de um novo golpe digital que dispensa invasões sofisticadas e se apoia em engenharia social para assumir contas de usuários. A campanha, chamada GhostPairing, explora o próprio recurso de Dispositivos Conectados do app para parear um aparelho do criminoso à conta da vítima e monitorar conversas em tempo real, sem que isso seja percebido de imediato (imagem: Guilherme Reis/Tecnoblog).
Detectada pela Gen Digital — empresa que reúne marcas como Symantec e Norton — a tática já teve registros na República Tcheca, mas especialistas alertam para o risco de propagação global, já que contas comprometidas podem servir como vetor para novos ataques.
Como o golpe funciona
O ataque começa com uma mensagem curta enviada por um contato conhecido da vítima. O texto traz um link que supostamente leva a uma foto ou outro conteúdo pessoal e inclui uma prévia que imita uma postagem do Facebook, aumentando a aparência de legitimidade.
Ao clicar, a pessoa é levada a uma página falsa hospedada em domínios muito parecidos com os oficiais. Nessa página, aparece um aviso dizendo ser necessário verificar a identidade para ver o conteúdo — um processo que, na verdade, não tem relação com a rede social que a prévia simulava.
Na prática, a página aciona o fluxo legítimo de pareamento de Dispositivos Conectados do WhatsApp. A vítima é convencida a informar seu número de telefone, o que permite ao criminoso iniciar o processo de vinculação de um novo dispositivo. Em seguida, um código de pareamento é exibido na tela falsa e o WhatsApp pede que o usuário o confirme. Mesmo quando o aplicativo indica que está adicionando um novo dispositivo, a notificação costuma passar despercebida. Depois da confirmação, o atacante obtém acesso completo à conta via WhatsApp Web.
Riscos e como identificar
Com o pareamento realizado, o invasor passa a acompanhar conversas, baixar mídias e enviar mensagens em nome da vítima, tudo em segundo plano. Por isso, muitas pessoas não percebem imediatamente que um segundo dispositivo foi adicionado, o que torna o golpe especialmente perigoso.
A Gen Digital observa que a identificação só é possível verificando as sessões ativas: abra Configurações > Dispositivos Conectados no WhatsApp e veja se há sessões desconhecidas.
Recomendações para reduzir o risco
- Desconfie de links inesperados, mesmo quando enviados por contatos conhecidos.
- Ative a verificação em duas etapas no WhatsApp.
- Evite agir sob pressão ou seguir instruções imediatas pedindo confirmação de códigos.
- Se houver suspeita de golpe, encerre imediatamente sessões não reconhecidas em Dispositivos Conectados e reporte a mensagem pelo próprio aplicativo.
Golpes como o GhostPairing mostram que funcionalidades legítimas podem ser exploradas por engenharia social, tornando a atenção do usuário e medidas básicas de segurança essenciais para proteger a conta. (ilustração: Vitor Pádua/Tecnoblog)
