Novo golpe de phishing no Instagram

ESET descobre novo golpe de phishing no Instagram que promete herança milionária

Entenda como funciona, quais os principais sinais de alerta e como se proteger

Nos últimos dias, uma nova campanha de phishing tem circulado no Instagram, oferecendo uma falsa herança de mais de um milhão de dólares. O golpe, que explora promessas de riquezas fáceis, está sendo utilizado por criminosos para roubar dados e informações pessoais de vítimas desavisadas. A ESET, empresa líder em detecção proativa de ameaças cibernéticas, alerta para os riscos desse tipo de fraude e ensina como se proteger.

A abordagem começa com uma mensagem privada no Instagram, mas é importante destacar que golpes como esse podem ser espalhados também por e-mail ou outros aplicativos de mensagens como WhatsApp e Telegram. Os golpistas se passam por pessoas fictícias que, por alguma razão, “oferecem” a herança milionária. A mensagem inclui um nome de usuário e uma senha de uma falsa corretora de criptomoedas, levando a vítima a acreditar que poderá sacar a quantia prometida.

Golpes da herança recebido por Instagram
 

“Ao investigar o site fraudulento, podemos ver que ele tem o intuito de imitar uma plataforma legítima de corretora de criptomoedas, incluindo cotações em tempo real de moedas populares e até imagens de empresas conhecidas para dar mais credibilidade. No entanto, uma pesquisa rápida sobre o domínio revela que o site foi registrado apenas dois dias antes da análise, um sinal claro de fraude”, explica Daniel Barbosa, Pesquisador de Segurança da ESET Brasil.

A estrutura do golpe

A abordagem começa com uma mensagem direta no Instagram, na qual os golpistas prometem uma herança milionária. A vítima é informada de que para acessar o valor, é necessário utilizar um nome de usuário e uma senha de uma suposta corretora de criptomoedas. Esses dados são fornecidos junto com um link para um site aparentemente legítimo, mas que, na verdade, é uma armadilha.
 

Telas de acesso inicial ao site

Ao clicar no link, o usuário é redirecionado para uma página que tenta imitar, de forma superficial, uma corretora legítima de criptomoedas. O site inclui cotações em tempo real das criptomoedas mais valiosas, bem como uma imagem da Morgan Stanley, uma instituição amplamente reconhecida no mercado financeiro. O objetivo dos criminosos é fazer com que o site pareça confiável.
 

Informações dispostas no site para atribuir credibilidade ao golpe

Uma pesquisa simples sobre o domínio revela que o site foi registrado apenas dois dias antes da análise, o que é um sinal claro de fraude. Isso ocorre porque golpistas frequentemente utilizam domínios novos, já que não conseguem manter os sites no ar por muito tempo antes que sejam denunciados e removidos.
 

Pesquisa sobre informações do domínio
 

O golpe é estruturado de forma a incentivar a vítima a realizar o saque de um grande montante em dólares. Ao tentar iniciar o processo de transferência, o site solicita um código de segurança, que a vítima não possui. Nesse momento, o golpe revela seu verdadeiro objetivo: coletar informações confidenciais.
 

Menu com opções
 

O site oferece um formulário que permite à vítima tentar recuperar o código de segurança perdido, por meio de perguntas de segurança. O criminoso solicita que a vítima escolha uma pergunta de segurança e forneça a resposta. Mesmo que a vítima forneça a resposta correta, o site não permite que o processo seja concluído. O objetivo aqui é apenas capturar as respostas das perguntas de segurança.

Formulário dedicado a coletar respostas secretas da vítima
 

Apesar de haver outros formulários no site, como os de transferência de criptomoedas, o foco principal dos golpistas é a coleta das respostas secretas. Essa informação pode ser usada para tentar acessar outras contas e serviços da vítima, uma vez que muitas plataformas de serviços online ainda utilizam perguntas de segurança como método de recuperação de contas. Com as respostas em mãos, os criminosos podem tentar invadir as contas bancárias, redes sociais e outros serviços da vítima, ampliando os danos financeiros e pessoais.

“É importante salientar que, como os criminosos já possuem uma estrutura criada para coleta de informações, eles podem adaptar facilmente as páginas para coletar outros tipos de informações ou até infectar os dispositivos das vítimas.”, alerta o pesquisador.
 

Como se proteger

A ESET recomenda que as pessoas fiquem atentas aos sinais de alerta e adotem boas práticas para evitar cair em fraudes. Algumas dicas incluem:

• Desconfie de promessas de riqueza fácil – Campanhas fraudulentas costumam utilizar ofertas atraentes demais para serem verdadeiras, como promessas de heranças inesperadas ou ganhos rápidos. Quando uma oferta parece boa demais, geralmente é um sinal de alerta. Criminosos frequentemente utilizam esses atrativos para enganar as vítimas.
• Evite clicar em links suspeitos – Links recebidos por e-mail ou em mensagens em redes sociais de fontes desconhecidas devem ser evitados a todo custo. Antes de clicar, verifique sempre a URL do site. Muitos golpes se disfarçam de páginas legítimas, mas um olhar atento pode revelar inconsistências.
• Ative a autenticação multifatorial (MFA) – A ativação da autenticação multifatorial é um passo essencial para aumentar a segurança de suas contas online. Essa medida adicional dificulta o acesso de criminosos, mesmo que consigam obter suas credenciais.
• Utilize software de proteção confiável – Manter o dispositivo protegido com um software antivírus confiável e sempre atualizado é uma das melhores formas de bloquear ameaças cibernéticas. A proteção preventiva é crucial para evitar que malwares e outros ataques comprometem a segurança dos dados pessoais.
• Esteja alerta em outros canais de comunicação – O golpe pode se espalhar por diversos meios, não apenas em redes sociais. E-mails, WhatsApp e Telegram também são frequentemente utilizados por criminosos para realizar abordagens maliciosas. Mantenha sempre a vigilância ao receber mensagens não solicitadas.

“Golpes como esse são um lembrete de que, no mundo digital, a desconfiança é uma das melhores ferramentas de defesa. A prevenção começa com o simples ato de questionar a veracidade de ofertas que parecem boas demais para ser verdade”, finaliza o pesquisador da ESET.

Veja também:

• senhasegura agora é Segura®
• ‘IngressNightmare’ coloca em risco ambientes Kubernetes
• Setor de abastecimento de água é alvo crescente de ciberataques
• WhatsApp e Telegram vulneráveis
• Cisco abre inscrições para capacitação gratuita em cibersegurança
• Ataque hacker a hospital de BH deixa pacientes sem serviços
• Tecnologia com segurança faz bem à Saúde!
• Ferramentas de IA influenciadas espalham desinformação
• Qual o custo da violação de dados?
• Plataformas legítimas disseminam malware
• BADBOX 2.0 Botnet Infecta 1 Milhão de Dispositivos Android
• Check Point descobre ataque de phishing através do Firebase