São Paulo, 15 de dezembro de 2020 – A ESET, empresa líder em detecção proativa de ameaças, identificou uma campanha de phishing que tenta obter credenciais de acesso para contas do Facebook. Ela se espalha pelo Messenger, aplicativo de conversas do Facebook, por meio de uma mensagem que vem de um contato e pede para “curtir” uma suposta foto por uma aparente “boa causa”.
A mensagem inclui um link com um URL encurtado que se refere a uma suposta imagem e solicita que a vítima em potencial acesse para dar seu like. No entanto, para realizar essa ação, é necessário fazer login em uma página falsa que copia a imagem do site oficial do Facebook.
“Como em muitas campanhas, o site de phishing usa as características de um site seguro; ou seja, ele usa um certificado de segurança, lida com HTTPS e tem um cadeado de segurança. Além disso, o site usa uma imagem de aparência idêntica à do site oficial do Facebook, de modo que o usuário pode ser enganado, principalmente se a mensagem vier de um contato conhecido. O objetivo desta campanha é roubar credenciais de acesso do Facebook”, menciona Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET na América Latina.
Segundo a ESET, a principal pista para identificar que se trata de um hoax é o URL, que não corresponde diretamente ao da rede social, embora algumas palavras sejam adicionadas ao domínio para fazer parecer que se trata de um site legítimo.
Se o usuário cair no engano e inserir suas credenciais de acesso, ele é simplesmente direcionado ao site oficial do Facebook, que remete a um aparente erro de autenticação, embora seus dados já tenham sido capturados pelo site falso.
Deve-se notar que a conta de onde vem a mensagem foi previamente comprometida e é usada para espalhar o engano com o objetivo de obter credenciais de acesso de outras contas. Portanto, mesmo se o link vier de um contato conhecido ou confiável, é necessário revisar os parâmetros de segurança para evitar cair em um golpe. Também é conveniente desconfiar desse tipo de mensagem e evitar divulgá-la, para que menos pessoas sejam comprometidas”, acrescenta Gutiérrez.
A ESET compartilha as seguintes recomendações para evitar cair em golpes de phishing:
- Ignore esses tipos de mensagens que chegam nos bate-papos, mesmo se vierem de contatos conhecidos, ou verifique os elementos de segurança para ter certeza de que não é um hoax. Dados os novos recursos usados pelos criadores de sites de phishing, como o uso de certificados de segurança, travas de segurança e protocolos seguros, bem como ataques homográficos a endereços da web (também conhecidos como homógrafos ou homoglifos), é necessário revisar o certificado de segurança para verificar a legitimidade do site em questão.
- Notifique o proprietário da conta da qual a mensagem é enviada para que ele saiba que está realizando essa atividade maliciosa, falsificando sua identidade e de sua conta. Portanto, é conveniente que ele analise qualquer atividade incomum em sua conta, como logins de diferentes locais ou dispositivos, e feche as sessões que não correspondem às que o usuário realiza.
- Habilite medidas de segurança adicionais, como duplo fator de autenticação. Além disso, no caso de identificar a atividade não reconhecida pelo usuário, é conveniente atualizar as senhas comprometidas imediatamente.
- Por último, mas não menos importante, também é adequado notificar os usuários que foram afetados por esta mensagem, para evitar que se tornem vítimas de campanhas de phishing que buscam obter acesso às contas de redes sociais e outros serviços.
“Na ESET apostamos sempre na educação como primeiro passo para nos mantermos seguros: estar atento às ameaças mais recentes permite-nos tomar as medidas necessárias para evitar sermos vítimas de engano, além de termos soluções de segurança em todos os dispositivos e manter os sistemas atualizados, estar prevenido às ameaças mais atuais é uma boa prática para desfrutar de tecnologia com segurança”, conclui Camilo Gutiérrez.
Para saber mais sobre segurança da informação, acesse o portal de notícias da ESET: https://www.welivesecurity.com/br/
