Jornais holandeses noticiaram recentemente a prisão de dois jovens de 18 e 19 anos suspeitos de roubar os dados de centenas de contas do Instagram usando técnicas de phishing.
As contas – todas pertencentes a usuários considerados influentes, com um grande número de seguidores – foram usadas para aplicar golpes que renderam aos dois algumas dezenas de milhares de euros em verba publicitária.
Os golpistas se aproveitaram da prática, comum em empresas de publicidade digital, de divulgar produtos e serviços em contas de usuários influentes nas redes sociais – pessoas de grande exposição como atores, atrizes e jogadores de futebol, por exemplo – e usaram os perfis roubados para oferecer esse serviço a agências de propaganda.
Para conseguir as informações das contas os jovens enviavam mensagens de e-mail falsas, fazendo-se passar pelo próprio Instagram. As mensagens solicitavam que a vítima confirmasse seus dados de login e senha clicando em um link. O link apontava para uma página falsa, simulando a página do Instagram; ao digitar as informações, a vítima entregava seu login e senha para os golpistas.
De posse das contas, os dois podiam contatar as agências e vender espaço publicitário.
Com cerca de 400 milhões de contas ativas no mundo todo, o Instagram está em 8º lugar no ranking global de redes sociais, o que faz dele um alvo certo para o phishing.
Os participantes da rede de compartilhamento de fotos costumam usar hashtags para identificar suas imagens. Algumas como #minhasferias e #jantarcomasamigas são exemplos de hashtags pessoais, sem grande expressão na rede; mas existem algumas bastante populares – como a #throwbacktuesday, que agrega milhões de imagens nas quintas-feiras – e golpistas se aproveitam delas para tentar fisgar suas vítimas.
Em um desses golpes, eles postam imagens usando essas hashtags atingindo um grande número de pessoas. Na descrição da imagem, os golpistas oferecem o serviço de “aumentar o número de seguidores”, conforme a imagem abaixo.
O link direciona a vítima para uma página falsa de logon do Instagram. Ao preencher suas informações, ela entrega o acesso à conta para o golpista.
Uma variação do golpe dos usuários grátis. Esse tipo de golpe também promete um grande número de seguidores com uma diferença: ao invés de fornecer usuário e senha em uma página falsa, a pessoa deve se identificar e responder um questionário ou baixar um aplicativo para receber sua “recompensa”.
Em um dos golpes mais populares, perfis falsos se passam por marcas conhecidas oferecendo vantagens para pessoas que clicarem nos links. Nos dois casos abaixo, perfis de companhias aéreas prometem passagens grátis.
Um outro perfil se passa por um banco de financiamentos para estudantes e promete perdoar as dívidas de clientes.
O Instagram não oferece opções de segurança para além do login. Recentemente a rede social prometeu “para breve”, a habilitação de uma nova função de segurança: a autenticação em duas etapas, similar à que é oferecida pelo Google e pelo Facebook. Enquanto isso não acontece, é preciso estar atento para não entregar suas informações acidentalmente nem cair em golpes
