As redes sociais têm grandes vantagens, como a possibilidade de manter contato com pessoas queridos e compartilhar experiências com amigos, mas como quase tudo na Internet, também podem ser facilmente utilizadas para realizar ações criminosas. Com um pouco de “criatividade”, as redes sociais podem ser usadas como uma ferramenta para roubar dinheiro de vítimas involuntárias.
Já ouvi histórias de perfis clonados do Instagram, mas sempre presumi que as pessoas contatadas por uma dessas contas verificariam o titular legítimo do perfil por meio de outra forma de comunicação ou, pelo menos, pensariam duas vezes antes de enviar dinheiro para uma conta com a qual se conectaram recentemente. No entanto, as pessoas ainda caem nesse tipo de golpe. Por isso, quero compartilhar a forma como essa fraude normalmente funciona.
Com costumo fazer, antes de transmitir qualquer mensagem de segurança, realizei um pequeno experimento para testar esse golpe no mundo real - é muito mais fácil comunicar uma mensagem sobre os riscos através de um exemplo real. Para isso, precisei de um voluntário que me autorizasse clonar sua conta e, posteriormente, enganar seus amigos. No entanto, ninguém quis participar desse teste.
Portanto, como não consegui encontrar alguém que pudesse participar do teste, decidi clonar minha própria conta do Instagram. Eu sigo quase 900 perfis no Instagram e geralmente estou postando as mesmas velhas fotos de paisagem marinha ou fotos minhas andando na praia para meus 1.400 seguidores. Decidi fazer uma nova conta no meu telefone “reserva” e tirei quatro capturas de tela (em vez de publicar as fotos originais) para tornar o perfil ainda mais autêntico, como qualquer outra pessoa faria. Foi fácil duplicar as imagens, mas o único problema foi com a foto do perfil – para que a imagem tivesse mais qualidade, seria necessário publicá-la no feed.
Aqui está uma captura de tela da minha conta original do Instagram: @jakemooreuk.
Aqui está uma captura de tela da minha conta clonada do Instagram: @jakemoore_uk. Observe a mudança na bio do perfil com o seguinte texto: "NOVA CONTA APÓS PERDER O ACESSO À ORIGINAL" (tradução).
Decidi seguir 30 perfis de amigos para verificar se eles também me seguiriam. Dez tinham contas privadas, ou seja, solicitavam aprovação, e 20 eram contas públicas.
Alguns minutos depois, três dos meus amigos que possuem contas privadas aceitaram minha solicitação para segui-los e dois deles me seguiram. Foi um bom começo. Esperava que alguém me contatasse através de um meio de comunicação diferente e questionasse esse pedido, particularmente devido a minha profissão, mas ao mesmo tempo devemos entender que todos somos susceptíveis a cair em um golpe.
Mas aí vem a surpresa: ninguém questionou. Na verdade, os números aumentaram. 13 contas passaram a me seguir no mesmo dia e à noite eu decidi mandar uma mensagem para essas pessoas e conferir qual seria a reação de cada uma delas.
Inicialmente, mencionei o suposto incidente com a minha conta e agradeci por aceitarem a nova solicitação de amizade.
Tradução da conversa
Atacante através da conta clonada: Obrigado por aceitar meu novo pedido de amizade. Não posso acreditar que perdi o acesso à minha conta... perdi todos os meus seguidores!!☹☹. De qualquer forma, espero que esteja tudo bem e precisamos colocar o papo em dia, sinto falta do café de uma cafeteria!
Essa ação recebeu 8 respostas entre os meus 13 novos seguidores. O objetivo do teste era criar uma história convincente para solicitar dinheiro, mas sem levantar suspeitas. Isso seria particularmente estranho se a pessoa não tivesse enviado um pedido para segui-la, mas quando as vítimas acreditam que sabem com quem estão falando, é muito mais provável que estejam dispostas a enviar dinheiro.
Um dos meus contatos respondeu com uma mensagem de esperança. Certamente, ele se solidarizou com a minha suposta situação.
Tradução da conversa
Atacante através da conta clonada: Obrigado por aceitar meu novo pedido de amizade. Não posso acreditar que perdi o acesso à minha conta... perdi todos os meus seguidores!!☹☹. De qualquer forma, espero que esteja tudo bem e precisamos colocar o papo em dia, sinto falta do café de uma cafeteria!
Usuário/vítima: Meu Deus, o que aconteceu? Não gostaria que isso acontecesse comigo!
A engenharia social apela para a credibilidade, confiança e um pouco de sorte para que tudo seja plausível e faça sentido. O simples fato de pedir às pessoas que transfiram dinheiro para uma conta bancária aleatória na primeira mensagem provavelmente teria disparado o alarme de qualquer pessoa, por isso decidi falar sobre transferência bancária apenas no momento mais adequado da conversa.
Antes de iniciar o teste, criei uma nova conta no PayPal em meu nome com um endereço de e-mail semelhante ao da minha conta real do PayPal – ou seja, o mesmo que faria um cibercriminoso. Eu escolhi este endereço porque estava disponível: jakemooreuk@xxxxxx.com.
A conversa foi assim:
Tradução da conversa:
Atacante através da conta clonada: Obrigado por aceitar meu novo pedido de amizade. Não posso acreditar que perdi o acesso à minha conta... perdi todos os meus seguidores!!☹☹. De qualquer forma, espero que esteja tudo bem e precisamos colocar o papo em dia, sinto falta do café de uma cafeteria!
Usuário/vítima: Meu Deus, o que aconteceu? Não gostaria que isso acontecesse comigo!
Atacante através da conta clonada: Eu sei! Mas essa não é a pior parte. Eles atacaram minhas contas online e também limparam minha conta bancária. Me sinto um idiota.
Usuário/vítima: Que?! É sério? Isso é terrível. Espero que esteja bem.
Atacante através da conta clonada: Na verdade, estou sem dinheiro no momento. Não terei grana até receber os cartões que o banco enviará pelos correios e ninguém aceita dinheiro no momento, por isso não posso usar as moedas que encontrei no meu carro.
Usuário/vítima: Meu Deus. Bem, me avisa se precisar de alguma ajuda.
Atacante através da conta clonada: Muito obrigado! Realmente não há problema? Eu prometo te devolver o dinheiro. Você pode me enviar 50 libras para minha conta do paypal jakemooreuk@xxxxxx.com e eu devolverei o dinheiro assim que puder. Obrigado.
O que eu achei mais desconcertante foi a rapidez com que tudo se desenrolou. Além disso, eu fui capaz de enganar o alvo fazendo-o pensar que a situação era real, sem a necessidade de verificações extras. Eu fui até capaz de fazer com que a própria pessoa me oferecesse ajuda. Essa é geralmente uma técnica inteligente usada por engenheiros sociais profissionais, que fazem um jogo psicológico para evitar a solicitação direta do dinheiro.
Explicação: Consegui entrar em contato com meu amigo antes dele depositar o dinheiro na nova conta do PayPal – dessa forma, consegui provar que se trata de um ataque bem simples - esse golpe é fácil de realizar quando os usuários oferecem muitas informações online. É necessário apenas uma conta para clonar e alguns contatos.
Então, como é possível garantir a segurança nas redes sociais?
Sempre que possível, reduza a quantidade de informações pessoais e fotos publicadas. Embora seja uma tarefa complicada, é importante ensinar a próxima geração de usuários das redes sociais a limitar a quantidade de informações que são postadas antes que sejam expostas para sempre. Esse golpe não funciona nos casos em que as contas são privadas.
No entanto, muitas pessoas com contas privadas ainda aceitam seguidores desconhecidos e realizam apenas, na melhor das hipóteses, algum tipo de verificação mínima. É extremamente importante pensar no que será publicado, além de aceitar apenas seguidores que podem saber um pouco mais sobre a sua vida. Usuários com contas totalmente públicas estão sujeitos a fraudes como a que destacamos neste post.
Os usuários também devem lembrar de que, quando há dinheiro envolvido, nunca é interessante aceitar nada sem pensar e analisar cuidadosamente. É fundamental solicitar a validação por outra forma de comunicação antes que o dinheiro seja enviado a um novo beneficiário. Se a vítima tivesse ligado para mim, o golpe não teria funcionado.
No entanto, se isso tivesse acontecido, eu simplesmente teria desistido dessa tentativa e passado para as outras sete respostas que recebi.
Esse golpe não se limita apenas ao Instagram - também vi casos no Facebook, Twitter e LinkedIn - portanto, fique de olho nas contas clonadas. Relate essas contas e informe o caso para o titular do perfil legítimo.