Perfis no Instagram viraram alvos de criminosos que se utilizam de um arsenal de técnicas para roubar as contas e induzir seguidores a fazerem transferências, geralmente por Pix.
Depois de invadir o perfil de um alvo, os golpistas usam iscas muito parecidas para tentar ganhar dinheiro: eles fazem stories se passando pelo dono da conta avisando que um parente está se mudando do Brasil e, por isso, está vendendo alguns itens como eletrodomésticos ou eletrônicos. Os preços são baixos porque a pessoa precisa agilizar a saída do país.
Em outras roupagens, os golpistas anunciam celulares a preços baixos que supostamente foram trazidos por algum parente dos Estados Unidos ou perfis que se passam por estabelecimentos comerciais enviam mensagens oferecendo vantagens, como sorteios ou promoções.
Os interessados entram em contato por direct (as mensagens privadas da rede social) e perguntam como podem combinar a compra. O criminoso, então, envia uma chave Pix e pede o comprovante – após o pagamento ser efetuado, o golpista bloqueia a vítima. Se questionado pela possibilidade de retirar o equipamento pessoalmente, não responde.
A falcatrua tem feito diversas vítimas e lesa aqueles que acreditam na oferta e o dono do perfil – que nada tem a ver com as postagens e teve seu perfil roubado por criminosos.
Foi o que aconteceu com um usuário do instagram. Uma conta de um restaurante que ele frequentava enviou uma mensagem para avisar de um sorteio e pediu o telefone. Depois disso, o golpista avisou que chegaria um SMS no telefone de Daniel e pediu que ele colasse o link da mensagem no chat.
Sem desconfiar, a vítima passou o link e teve o perfil sequestrado. O procedimento é muito parecido com o que criminosos usam para roubar contas de WhatsApp, quando é solicitado o código de autenticação.
De posse da conta, os criminosos publicaram stories com ofertas e pediram a quem fizesse contato que que adiantasse uma quantia em dinheiro, que seria metade do valor da compra, uma amiga dele perdeu R$ 2.200,00.
Essa é uma das formas mais comuns do roubo do perfil do Instagram, segundo o especialista em cibersegurança da Kaspersky, Fabio Assolini.
O link que chega no SMS é enviado pelo Instagram por meio da função "esqueci minha senha". De posse dele, o criminoso consegue redefinir as credenciais e tomar o perfil – por isso, nunca envie nenhum código ou link que tenha recebido em seu celular ou e-mail.
"Jamais compartilhe nenhum link, nenhum código", aconselhou Assolini.
Como se proteger A maneira mais eficaz de se proteger contra essas tentativas de invasões é ativar a autenticação de duplo fator.
Com essa etapa extra, além de inserir a senha, é preciso incluir um outro código de acesso, enviado para um aplicativo instalado no seu celular.
Para ativar o recurso, navegue até as Configurações do Instagram, toque na opção Segurança e, em seguida, Autenticação de dois fatores.
É importante que o fator de autenticação não seja SMS, já que os criminosos se valem de outros métodos para roubar perfis, como o que sofreu um especialista em harmonização facial com mais de 100 mil seguidores no Instagram.
Os criminosos usaram uma técnica de clonagem do número de celular conhecida como "SIM Swap" – de posse da linha, os criminosos conseguem realizar a recuperação de senha de todas as contas atreladas ao número, como e-mail, WhatsApp e outras contas que enviam códigos de confirmação por SMS.
Por isso, a importância da autenticação em duplo fator não usar os torpedos, que podem ser interceptados.
Saiba o que é autenticação em dois fatores e por que ela é importante
Essa clonagem de linha de telefone pode acontecer com a ajuda de um funcionário da operadora ou quando o criminoso infecta um computador da operadora com um vírus e ele mesmo abre o sistema e faz a troca do número de um chip para outro – muitas vezes, o golpista "devolve" o número após realizar as invasões desejadas.
O especialista em harmonização facial teve todas as suas contas nas redes sociais, incluindo WhatsApp e e-mail, invadidas por criminosos que aplicaram golpes em pelo menos 20 seguidores dele.
Uma das reclamações frequentes das vítimas é a dificuldade de entrar em contato com o Instagram para comunicar o golpe e reaver seus perfis. A conta do especialista em harmonização facial, por exemplo, só foi restabelecida apenas 62 dias depois da invasão.
Outras técnicas de invasão Outra técnica utilizada comumente envolve páginas falsas que simulam a tela de login do Instagram.
"Em geral, há um pedido para acessar algo e ganhar alguma coisa. Pode ser um site para você ganhar mais seguidores. A pessoa clica no link, tenta autenticar no Instagram e acaba fornecendo o usuário e senha dela", explicou Thiago Bordini, diretor de inteligência cibernética na Axur.
Um problema recorrente das invasões envolve senhas fracas e repetidas que as pessoas costumam usar.
"A pessoa usa uma senha no Instagram e essa mesma senha ela repetiu e usou em outro site qualquer. Um criminoso invade esse site e captura a base de dados com logins e senhas. Aí, coincidentemente, aquela senha é a mesma que a pessoa usa no Instagram e o perfil é invadido", contou Assolini.
Por isso, é importante não repetir as senhas – um gerenciador de senhas é uma boa pedida para não ter que lembrar de todos os logins.
