Um novo golpe voltado à captura de dados de usuários do Facebook está circulando pelo Messenger, alerta a ESET. De acordo com a empresa de segurança, a campanha de phishing se espalha por meio de uma mensagem que vem de um contato e pede para que o alvo curta uma suposta foto de uma aparente “boa causa”, incluindo um link com um URL encurtado. Depois, o redireciona para outro ambiente e solicita os dados de login – mas a página em questão é falsa.
Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET na América Latina, explica que o ataque é realmente bem elaborado. “Como em muitas campanhas, o site de phishing usa as características de um site seguro; ou seja, ele usa um certificado de segurança, lida com HTTPS e tem um cadeado de segurança”.
Além disso, o site usa uma imagem de aparência idêntica à do site oficial do Facebook, de modo que o usuário pode ser enganado, principalmente se a mensagem vier de um contato conhecido, complementa o profissional.
Caso a vítima insira os dados, é redirecionada ao site oficial, que remete a um aparente erro de autenticação; entretanto, o estrago já está feito. “O objetivo desta campanha é roubar credenciais de acesso do Facebook”, salienta Gutiérrez.
Como se proteger?
Algumas dicas podem ajudar na identificação de tais campanhas. Por exemplo, “deve-se notar que a conta de onde vem a mensagem foi previamente comprometida e é usada para espalhar o engano com o objetivo de obter credenciais de acesso de outras contas. Portanto, mesmo se o link vier de um contato conhecido ou confiável, é necessário revisar os parâmetros de segurança para evitar cair em um golpe”, indica Camilo.
A principal pista para identificar que se trata de um hoax é o URL, salienta a ESET, “que não corresponde diretamente ao da rede social, embora algumas palavras sejam adicionadas ao domínio para fazer parecer que se trata de um site legítimo.”
No mais, orienta a companhia, ignorar essas mensagens, mesmo que venham de contatos conhecidos; notificar o proprietário da conta que espalha o link; habilitar medidas de segurança adicionais, como duplo fator de autenticação; e atualizar senhas frequentemente são maneiras de se proteger.
“Também é conveniente desconfiar desse tipo de mensagem e evitar divulgá-la, para que menos pessoas sejam comprometidas”, finaliza Amaya.
