Bandidos usam golpe antigo para invadir perfis do Instagram; fique atento
Você já se deparou com alguém vendendo algo nos stories do Instagram? Um celular, móveis, eletrodomésticos... A rede social se tornou um meio popular para divulgar produtos. Porém, criminosos estão de olho exatamente nisso.
Um golpe comum que envolvia o roubo de contas do WhatsApp se expandiu para o Instagram. A tática consiste em pegar perfis de usuários para fazer publicações de vendas se passando pelas vítimas.
A segunda fase do crime é induzir os interessados a realizar transações via Pix. E os produtos comprados, claro, nunca chegam.
A estratégia dos criminosos tem feito sucesso na rede social, pois uma postagem de alguém conhecido não levanta suspeitas.
Nesse método de ataque os criminosos nem precisam encostar no aparelho celular da vítima, é uma invasão "pelo ar", onde o roubo é feito de forma totalmente remota, e muitas vezes a vítima só fica sabendo algum tempo depois quando é avisada por amigos e conhecidos que viram as postagens das vendas nas redes sociais.
A engenharia do golpe
Segundo especialistas em segurança digital ouvidos por Tilt, uma das maneiras de aplicar esse golpe é através do SIM swap, uma tática onde o criminoso "clona" o número de um chip de celular.
Em posse dele, a pessoa consegue ter acesso a informações como mensagens, senhas e contas de redes sociais das vítimas.
Por exemplo:
- Para configurar em seu telefone/computador o Instagram da vítima, o criminoso recorre a opção "redefinir senha".
- Se a pessoa a vítima tiver configurado previamente a camada de segurança chamada "autenticação em dois fatores/duas etapas", um código de verificação será enviado nesse momento para o número de telefone cadastrado.
- É nessa hora que o bandido consegue "clonar" a conta do Instagram. Fala-se popularmente em clonar um perfil, mas o termo mais correto é roubar.
Apesar de não ser um método tão novo ele é frequentemente "reinventado" pelos criminosos — que miravam mais em roubar contas do WhatsApp para pedir dinheiro para amigos e familiares dos responsáveis pelo perfil.
A "clonagem" do chip de celular
Essa "clonagem" do número de um chip é um processo legítimo, que as operadoras podem fazer, porém, bandidos estão se aproveitando indevidamente da situação.
Para fazer isso os criminosos pegam um chip em branco (limpo). Em posse dos dados da potencial vítima (que podem ser obtidos em vazamento de dados ou publicações nas redes sociais, por exemplo), eles ligam para a operadora se passando por ela.
No contato, eles solicitam a ativação do novo chip alegando, geralmente, que o chip anterior foi perdido ou roubado.
"Um falsário liga para a operadora se passando pela vítima, e pede a ativação do número nesse novo chip, fornecendo todos os dados pessoais necessários para fazer esse processo", explica Martha Carbonell, presidente-executiva da Law 360, empresa que ajuda outras companhias a se enquadrarem na LGPD (Lei Geral de Proteção de Dados).
A operadora, sem imaginar que se trata de golpe já que os dados necessários foram confirmados, realiza a ativação da conta no chip dos bandidos.
Com isso, o invasor tem acesso a ligações, mensagens SMS e senhas da vítima — caso esteja salvas.
Para o especialista em cibersegurança Leandro Gouvêa, esse tipo de invasão ainda acontece devido às falhas nos sistemas do controle de dados das pessoas.
"Grande parte das empresas ainda tem falhas no sistema de manutenção dos dados cadastrais de clientes possibilitando o vazamento de dados, por exemplo. Além disso, na outra ponta do golpe, estão as operadoras que precisam adotar sistemas mais rigorosos no quesito a validação dos dados de seus usuários", afirma.
"É um assunto que ainda precisa ser muito debatido", acrescenta Gouvêa.
Como se proteger?
Todos podem adotar algumas medidas para dificultar a vida dos criminosos e aumentar a proteção.
A principal dica dos entrevistados é evitar quando for possível o uso de SMS ou ligação telefônica como método de recuperação de senha de aplicativos. Pois, uma vez que o criminoso tem o seu número, ele certamente tentará reativar programas como WhatsApp e suas redes sociais.
"O ideal é que o usuário use aplicativos de tokens [senhas] de acesso, como Google Authenticator, Authy para proteger senhas e, consequentemente, contas", acrescenta Martha.
Fui vítima do golpe. E agora?
Caso você ou alguém conhecido tenha sido vítima e perdeu o acesso ao telefone cadastrado na conta do Instagram, siga o passo a passo destacado pela empresa na Central de Ajuda.
No link existem respostas para situações como:
- Conta invadida
- Conta publicando conteúdo não autorizado
- Email da conta foi alterado
- Vítima de phishing no Instagram (tipo de golpe que usa iscas para convencer pessoas)
Outros cuidados:
- Evite postar dados pessoais nas redes sociais. Eles podem ser facilmente usados para enganar você e seus conhecidos.
- Tenha atenção com códigos recebidos via SMS, quando não houver motivo para recebê-los.
- Nunca compartilhe o código de ativação do WhatsApp e das redes sociais;
- Desconfie de telefonemas em que alguém solicite seus dados pessoais e códigos enviados por SMS.
*Com informações de Lucas Carvalho, de Tilt, em São Paulo
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.