De acordo com dados publicados pela Statista, plataforma especializada em coleta e visualização de dados, entre outubro e dezembro de 2023 o Spotify alcançou mais de 236 milhões de assinantes, consolidando-se como o principal serviço de streaming de música no mundo. Esse crescimento atraiu a atenção de cibercriminosos, que passaram a empregar diversas técnicas para obter acesso às contas dos usuários do Spotify.

Neste post, analisamos as principais estratégias usadas por cibercriminosos para obter dados de login, como eles lucram com essas informações, os sinais que indicam uma possível conta comprometida e as melhores práticas para evitar o roubo de credenciais.

Phishing

Os e-mails de phishing são um dos principais vetores de ataque usados por cibercriminosos para obter dados de login de usuários desprevenidos. Qual a desculpa utilizada? Como sempre, alguma urgência ligada a um pagamento ou cancelamento de serviço.

Um relatório de usuários do Spotify mostra, por exemplo, como eles tentaram roubar contas usando essa técnica. Ao enviar um e-mail com o suposto aviso de que a conta será desativada, o usuário é levado a clicar em um link que o levará a uma página apócrifa, criada para roubar credenciais de login e outras informações pessoais.

Imagem 1. Exemplo de e-mail de phishing relatado no site oficial do Spotify. Fonte: Spotify.com.

Para se proteger desses golpes, é útil consultar as informações publicadas pelo Spotify em sua seção de ajuda. A plataforma orienta sobre como reconhecer e-mails legítimos, destacando que nunca solicitará dados pessoais, como informações de pagamento ou senhas, nem pedirá que você faça pagamentos por terceiros ou baixe anexos.

Vazamentos de dados

Os vazamentos de dados também podem levar ao roubo de contas do Spotify. Por exemplo, de acordo com um usuário no Reddit, sua conta foi comprometida e alguém alterou suas credenciais de login.

Logo depois, ele descobriu, por meio do site Have I Been Pwned, que seu e-mail havia sido exposto em vários vazamentos de dados. Isso indicou que as informações comprometidas em outras plataformas e serviços online foram usadas para tomar o controle de sua conta no Spotify. Com o endereço de e-mail em mãos, o cibercriminoso conseguiu localizar a conta correspondente no Spotify e, utilizando um ataque brute force, obteve sua senha.

Importante:

Os usuários e as senhas não devem ser reutilizados, pois se algum dado de conta ou serviço for vazado, todo o resto ficará vulnerável.

Aplicativos não oficiais

Outra maneira utilizada por cibercriminosos para acessar contas do Spotify é por meio de aplicativos não oficiais que prometem acesso gratuito a recursos premium. Atraindo as vítimas com promessas enganosas, esses aplicativos capturam o endereço de e-mail e a senha, permitindo que os criminosos assumam o controle da conta.

Imagem 2. Exemplo de um anúncio de aplicativo malicioso. Fonte: Volt.fm.

Infecção por malware

Outra estratégia comum entre cibercriminosos é a infecção por malware, com o objetivo de obter as credenciais de login das vítimas. Isso é feito através de keyloggers, programas que registram cada tecla digitada e enviam essas informações diretamente aos criminosos.

Por que as contas do Spotify são atacadas?

Existem várias respostas para essa pergunta. Por um lado, os cibercriminosos podem tentar obter as credenciais de login das vítimas e vendê-las a terceiros. Contas roubadas são frequentemente negociadas em fóruns e mercados na internet, oferecidas a preços bem abaixo do valor oficial.

O outro motivo é simplesmente falsificar reproduções por meio de contas roubadas que reproduzem contínua e repetidamente as músicas de um artista para aumentar artificialmente a contagem de reproduções e gerar receita.

Leia mais: 5 dicas para evitar ser hackeado nas redes sociais

Como posso saber se fui atacado no Spotify?

Há vários sinais reveladores de que sua conta do Spotify foi roubada. Entre eles estão:

  • Você percebe alterações em sua assinatura;
  • A música que você ouve muda ou para aleatoriamente;
  • Você encontra playlists que não reconhece ou não consegue encontrar suas próprias playlists;
  • Você recebe e-mails do Spotify sobre logins desconhecidos;
  • Você não consegue fazer login na sua conta.

Como você pode evitar ser atacado?

Embora os cibercriminosos utilizem várias estratégias para roubar contas do Spotify, existem diversas medidas que você pode adotar para se proteger. Veja algumas recomendações:

  • Escolha uma senha forte e longa: Sua senha deve incluir letras maiúsculas, caracteres especiais e números. Além disso, é fundamental que seja exclusiva, ou seja, não deve ser usada em outros serviços ou sites. Uma dica útil é utilizar um gerenciador de senhas, que permite gerar credenciais fortes e únicas para cada conta, eliminando a necessidade de memorizá-las.
  • Baixe o aplicativo do Spotify apenas em lojas oficiais: Desconfie de ofertas que parecem boas demais para ser verdade, pois podem ser armadilhas criadas por cibercriminosos.
  • Não compartilhe sua conta com ninguém: Mesmo que sejam pessoas de sua confiança, não há como garantir que elas saibam manter a conta segura. Portanto, considere a opção de adquirir uma assinatura familiar ou compartilhada para evitar riscos.