- Criminosos estão invadindo contas do Instagram e anunciando a venda de falsos produtos. Nessa ação, existem dois tipos de vítimas: a que tem o perfil roubado e a que acaba transferindo o dinheiro para o hacker
- O modus operandi é o mesmo: nos stories, o hacker (se passando pela vítima) oferece produtos por preços muito baixos
- Especialista deixa algumas dicas essenciais para evitar que sua conta em qualquer rede social seja roubada
Imagine só: você está navegando nas suas redes sociais e vê o anúncio de um amigo vendendo móveis, eletrônicos ou eletrodomésticos pelo Instagram. Os preços são tentadores. Você, então, entra em contato com essa pessoa e faz um pix dos valores. O problema é que só depois descobre que foi vítima de um golpe financeiro.
Leia também
Criminosos têm invadido contas do Instagram para anunciar a falsa venda de produtos. Nessa ação, existem dois tipos de vítimas: as que têm o perfil roubado e as que acabam transferindo o dinheiro para o hacker.
Regina Lima, jornalista, se encaixa no primeiro caso. Na última segunda-feira (27), ela tentou acessar a rede social e não teve sucesso. Vasculhando o e-mail pessoal, aberto no celular, percebeu uma mensagem estranha recebida do próprio Instagram: o endereço eletrônico da conta na rede social foi trocado para um endereço desconhecido.
Desde então, a jornalista tenta resgatar seu perfil, mas todas as formas de recuperação de senha foram alteradas.
“Quando eu tento resgatar a senha por SMS, não consigo porque eles também trocaram o número do celular. Quando tento fazer por reconhecimento do meu dispositivo, o Instagram também não reconhece mais o meu dispositivo. Todos os vínculos que a minha conta tinha com os meus dados foram trocados. A plataforma não me reconhece mais como dona daquela conta”, afirma Lima.
Em nota, o Instagram diz que trabalha de forma contínua na implementação de recursos capazes de barrar o acesso de hackers a contas de terceiros. A rede social também informou que, caso não seja possível resgatar a senha pelos meios disponibilizados e que podem ser consultados na Central de Ajuda para contas invadidas, como a reversão do e-mail alterado para o original, o suporte deve ser acionado.
Contudo, desde a invasão do perfil, Lima relata ter enviado diversos e-mails ao time de suporte. Até a noite desta quarta-feira (29) as mensagens não haviam sido respondidas. “Você fica completamente no vácuo”, afirma. “Essas plataformas deveriam ter um serviço mais ágil para ajudar o consumidor. Enquanto eles não respondem, quantas pessoas podem cair nesse golpe?.”
Fora a dor de cabeça de ter o perfil roubado, os criminosos passaram a usar a conta do Instagram para tentar aplicar golpes nos amigos da jornalista. O modus operandi é o mesmo: nos stories, o hacker (se passando pela vítima) oferece produtos por preços muito baixos.
Na outra ponta dessa história, está a analista de negócios Mariana Presidente. A curitibana viu nas ofertas feitas por uma colega no Instagram a oportunidade de comprar micro-ondas e geladeira por preços mais baixos. Pegou R$ 2,4 mil emprestados para comprar os eletrodomésticos. No final, acabou transferindo todo o dinheiro para um criminoso.
Para conseguir pagar o empréstimo, começou a rifar objetos pessoais. “Sou torcedora do Coritiba e estou rifando a camiseta original que tenho. Foi a forma que achei para que a pessoa que me emprestou o dinheiro não saia no prejuízo”, afirma Mariana. “Eu me separei recentemente e, na divisão dos bens, fiquei sem geladeira, TV, sofá, essas coisas. Já estou fragilizada por conta da separação e justo nesse momento de mudança caio em um golpe.”
Um dos pontos preocupantes é que mesmo após um registro de boletim de ocorrência contra o recebedor do pix, o perfil hackeado segue ativo. Diariamente, novas ‘ofertas’ de venda são postadas nos stories. “Eles ainda estão no controle do Instagram dela, mesmo com a campanha em peso que estamos fazendo para denunciar. Já colocaram iPhone no meio e outras coisas com valor alto. Provavelmente outras pessoas estão caindo no golpe”, afirma a analista.
Devolução do pix?
Mariana chegou a tentar cancelar o pix enviado ao hacker por meio do Mecanismo Especial de Devolução (MED). Desde 16 de novembro, é possível pedir o estorno da transação instantânea em casos de fraudes ou falhas operacionais.
A vítima precisa registrar um boletim de ocorrência e informar ao banco sobre o golpe através dos canais oficiais (SAC, ouvidoria, chats dos aplicativos). A instituição financeira de onde partiu o dinheiro, então, deve informar ao ‘banco do golpista’ (o banco que recebeu o pix) para que os recursos sejam bloqueados imediatamente na conta do criminoso.
Uma vez instituído o bloqueio, o banco do golpista tem um prazo de sete dias para a análise do ocorrido. Se confirmada a fraude, o dinheiro é devolvido.
O Nubank, banco em que a analista de negócios tem conta, respondeu que vai seguir com a contestação da transferência, mas que não pode garantir que o valor seja devolvido e nem dar um prazo para que o processo seja concluído. Em nota, o banco digital explicou que depende da instituição que recebeu o Pix avançar com a análise do caso.
“O Nubank informa que, nos casos em que – após análise interna – se confirma a fraude, a etapa seguinte passa a envolver a instituição financeira recebedora da transação. Assim, o prazo a ser cumprido depende exclusivamente desta outra parte envolvida, em processo sobre o qual o Nubank não tem controle, ressalte-se”, explicou o banco.
Como o hacker invade as contas
Regina Lima e Mariana Presidente não são as únicas vítimas. Em uma busca rápida nas redes sociais, vários usuários alertaram sobre suas contas invadidas e a dificuldade em seguir com a recuperação por meio das opções disponibilizadas pelo Instagram. Outras, afirmam terem caído no golpe e enviado dinheiro aos hackers.
Seja pela perda do perfil, ou pelo envio do pix ao golpista, a principal questão é a mesma: segurança digital. Osmany Arruda, professor de segurança da informação da ESPM, explica que existem vários meios para que os hackers consigam invadir redes sociais.
O mais comum deles é quando o próprio usuário se cadastra em sites duvidosos, falsos ou pouco confiáveis e acaba passando dados sensíveis. Outra forma, também comum, é por meio de engenharia social. Isto é, o criminoso estuda os gostos da vítima e, em posse dessa informação, cria um sorteio ou uma página fake para colher credenciais básicas, como e-mail e telefone.
Depois, utilizando bases de dados ‘vazadas’ de algum site, o hacker identifica a senha e demais elementos utilizados pela vítima para logar na rede social. Essas base de informações podem ser encontradas em fóruns na deepweb ou até mesmo em alguns grupos do Telegram voltados a hackers. O próprio Facebook, dono do Instagram, já teve vazamento de 500 milhões de telefones, e-mails e datas de nascimento no início de 2021.
“Eles entram no seu perfil e observam o que você gosta e o que você costuma comprar, por exemplo. Muitas vezes se passam por algum vendedor. Aí te mandam e-mails falsos, enviam mensagens pedindo dados simples para uma “promoção” – que são justamente as informações que a rede social pede para mudar a sua credencial”, explica Arruda.
Lima conta que foi exatamente isso que aconteceu com ela. Adepta do mountain bike, a jornalista segue páginas da marca ‘ASW’ no Instagram, especializada em artigos esportivos. O hacker criou uma falsa conta de Instagram da marca e entrou em contato solicitando e-mail e telefone.
“Eles falaram que sabiam que eu praticava montainbike e que estavam criando um grupo para o sorteio de uma bicicleta. Eles só me pediram apenas meu nome, e-mail e telefone”, afirma a comunicadora.
Como se proteger contra golpes
O professor Arruda, da ESPM, deixa algumas dicas essenciais para evitar que sua conta em qualquer rede social seja roubada.
– Troque sua senha com frequência e utilize senhas complexas
“Use uma senha que não seja facilmente adivinhável. Não adianta usar a data de nascimento do seu filho e a placa do seu carro de senha. Use uma senha complexa, que não envolva dados conhecidos, que o criminoso possa adquirir olhando seu Facebook”, afirma Arruda. “E muitos usuários também não tem o costume de trocar a senha. Ficam com a mesma senha por muito tempo.”
– Não utilize a mesma senha para todas as redes sociais e evite autentificação por outra plataforma
“Evite reaproveitar a mesma senha em serviços diferentes, porque se uma é descoberta, todos os outros apps ficam expostos. E evitar principalmente nesse caso, em que o Instagram aceita o login do Facebook. Não aceite esse tipo de autentificação através de um outro serviço. Crie sempre uma credencial nova”, afirma Arruda. “Muitos serviços hoje aceitam autentificação do Google, do Facebook e etc. Não aceite, crie outro.”
– Utilize a autenticação de dois fatores
“A grande maioria não coloca o segundo fator de autenticação que as plataformas disponibilizam. Se você não tem o segundo fator é muito fácil invadir. Geralmente é o número do celular para enviar SMS e confirmar que é o usuário que está acessando a plataforma ou e-mail. Tem até mesmo aquele Google Autenticator, que é um aplicativo simples, mas que funciona muito bem”, explica Arruda. “Burlar o segundo fator por e-mail é mais fácil, mas o SMS é difícil, pois o criminoso teria que fazer um ataque mais complexo e clonar o seu número.”
– Evite fornecer seus dados, mesmo que sejam básicos
“Quando há vazamento de dados, número de telefone, e-mail e senha caminham juntos. Se de repente vazou uma base de dados, e você passa o seu e-mail para o criminoso, ele vai te identificar na lista e encontrar sua senha”, afirma Arruda. “Por exemplo, já faz um tempo que o vazamento no Facebook ocorreu, mas quanto tempo faz que o pessoal não troca a senha?.”
– Evite fazer cadastro em sites pouco conhecidos
“Vá atrás, investiga, vê o que você consegue saber sobre esse site”, afirma Arruda. “As vezes o site é criado pelo criminoso coletar os dados das vítimas. E algo comum também é que vazamentos de bases de dados aconteçam em sites pequenos (mesmo que sejam sites reais, idôneos), cuja repercussão é menor”, ressalta Arruda.
– Não entre em apps alternativos
“Sempre baixe os apps originais, nas lojas originais. A gente viu acontecer muito disso com o Auxílio Brasil, que apesar de estar na loja oficial, não era o aplicativo oficial do programa”, afirma Arruda. O Instagram também possui uma página com algumas dicas de segurança.
Invista em oportunidades que combinam com seus objetivos. Faça seu cadastro na Ágora Investimentos
