Campanha de phishing no Facebook faz 480 mil vítimas em apenas 13 dias
Um golpe dos mais batidos, mas ainda capaz de atiçar a curiosidade de muitas pessoas, fez 480 mil vítimas entre o final de janeiro e o começo de fevereiro. A campanha maliciosa parece focada em usuários da Europa, principalmente alemães, e usa um suposto vídeo polêmico como isca para roubar credenciais de acesso ao Facebook, além de dados de localização e do celular utilizado para acesso ao suposto conteúdo.
De acordo com relatório do CyberNews, publicação de pesquisas em cibersegurança, a mensagem maliciosa chega por meio do Facebook Messenger e usa uma manipulação do protocolo Open Graph, da própria rede social, para incluir o nome de quem recebe no link para um suposto vídeo. A ideia é que as imagens seriam constrangedoras, mas o clique leva o usuário para um site malicioso.
Aqui, os golpistas usam um redirecionamento para evitar que softwares de segurança detectem a fraude — a primeira página acessada é legítima, mas inclui um script que redireciona o usuário a uma tela falsa de login do Facebook, onde ele deve inserir seu e-mail e senha de acesso, tendo os outros dados coletados também. Desnecessário dizer que não existe vídeo algum, aliás.
A partir de uma análise do código usado na tentativa de phishing, o CyberNews foi capaz de chegar aos responsáveis pela campanha: um hacker (ou um grupo deles) espanhol chamado BenderCrack. A partir de domínios encontrados no golpe, os especialistas também chegaram à marca das 480 mil pessoas atingidas apenas entre 26 de janeiro e 8 de fevereiro, sendo 77% delas na Alemanha, no que parece ser uma campanha direcionada a cidadãos do país.
Além de ter as credenciais roubadas, o usuário que cai no golpe também é levado a uma segunda página, que tenta instalar malwares ou adwares em seu computador ou celular. A ideia seria perpetuar a campanha por meio de ganhos financeiros ou extração de novos dados, em uma ação massiva que aproveita o pouco tempo que normalmente o Facebook leva para detectar a disseminação de links maliciosos dessa categoria.
Ao analisar o domínio usado pelo hacker, o CyberNews também foi capaz de encontrar outras campanhas maliciosas em andamento, como uma focada em usuários da República Dominicana e outras duas com títulos e mensagens em espanhol. Em um dos casos, um perfil específico do Facebook está sendo rastreado, com todas as publicações e interações sendo salvas por motivo desconhecido.
Os especialistas entregaram as informações às autoridades ao Facebook e ao serviço de encurtamento de URL que está sendo usado para ofuscar a disseminação do link malicioso, que já foi retirado do ar. A rede social, entretanto, parece não ter respondido ao contato do CyberNews.
Às vítimas, a recomendação é trocar as senhas de acesso ao Facebook e demais serviços que compartilhem da mesma credencial. O ideal é ativar sistemas de verificação em duas etapas, de forma que o acesso seja impedido mesmo com os dados corretos, e utilizar softwares de segurança para varrer os dispositivos em busca de malwares, adwares e outras soluções maliciosas que tenham sido instaladas.
Além disso, vale a recomendação de sempre sobre cliques em sites suspeitos, principalmente quando as URLs forem enviadas por usuários desconhecidos. Jamais insira informações ou realize cadastros sem ter certeza absoluta de estar acessando sites legítimos e não permita ou realize o download de aplicativos ou soluções a partir de mensagens recebidas ou fora de marketplaces oficiais.