Os pesquisadores da Trend Micro constataram que hackers obtiveram acesso a contas do Instagram por meio de ataques de phishing. Também descobriram que os ataques a perfis populares do Instagram tornaram-se uma operação para um determinado grupo de hackers de língua turca. Os pesquisadores encontraram casos em que proprietários de perfis do Instagram com 15.000 a 70.000 seguidores foram hackeados e nunca mais foram recuperados. As vítimas variam de atores e cantores famosos até proprietários de empresas e startups.
O grupo também está envolvido em extorsão digital. Uma vez que a vítima tenta entrar em contato com o hacker, ela é forçada a comprar um resgate, pagando em Bitcoin ou criptomoedas, ou com o envio fotos e vídeos com “nudes” para recuperar a conta, mas mesmo “pagando’, nunca recuperam o acesso.
Segundo Aloísio Marinho, engenheiro de vendas da Trend Micro, os hackers ainda parecem tirar vantagem apenas dos próprios influenciadores digitais que tiveram suas contas violadas.
“Entretanto, os atacantes buscarão tomar controle de contas cada vez maiores, com até milhões de seguidores, com intuito de tirar vantagem de sua influência e alcance, afetando também, por meio de diferentes táticas, os milhões de usuários que seguem essas contas.”
Como acontece
De acordo com um informe da Trend Micro, o ataque começa com um e-mail de phishing fingindo ser do Instagram. O e-mail estimula a possível vítima a confirmar a conta para receber o selo Verificado do perfil do usuário da rede social. Note que o Instagram tem requisitos específicos e o processo de verificação acontece somente depois que um usuário solicitar, além de não pedir credenciais.
Confira nossas sugestões de Pre-Sales para investir agora
Quando o usuário clica no botão “Verificar conta”, ele é redirecionado para uma página de phishing que solicita a data de nascimento, o e-mail e as credenciais do usuário. Existe uma validação básica de dados, não permitindo que o usuário envie um formulário vazio. A vítima também é solicitada a inserir as credenciais de seu e-mail.
Assim que o invasor tem acesso ao perfil do Instagram da vítima e ao e-mail relacionado à conta, ele pode modificar as informações necessárias para ter acesso à conta roubada. Uma vez enviadas as informações, uma notificação de selo aparece, mas por apenas quatro segundos. Esse é um truque para dar aos usuários a impressão de que o perfil deles foi verificado.
“As imitações de e-mails sempre tentam parecer legítimas, se aproveitando da engenharia social e, nesse caso, do desejo de receber o selo de verificação no perfil, para enganar os usuários”, afirma Marinho. Para evitar cair em um ataque de phishing e ter a conta do Instagram roubada, Marinho explica que os usuários devem sempre atentar-se ao uso de domínios que não sejam da própria rede social, estilos de fontes duvidosos, gramáticas e pontuações incorretas e e-mails que pedem credenciais, pois as redes sociais nunca as solicitam fora de suas páginas de login reais e seguras.
Depois de algum tempo, a página de phishing será desviada para o site do Instagram. Essa é uma tática comum em phishing. É provável que a vítima já tenha feito login com cookies, para ser redirecionada para seu perfil no Instagram.
Os pesquisadores da Trend Micro analisaram a fundo esses casos para entender os motivos dos hackers e como eles operam. Em um perfil do Instagram que foi hackeado, eles mudaram o nome de usuário para “natron_raze”, provavelmente para indicar que foi hackeado. O e-mail associado ao perfil também foi modificado imediatamente. Depois de algum tempo, o e-mail da conta foi alterado novamente. O truque aqui é inundar a vítima com os e-mails de segurança do Instagram, perguntando se as mudanças são legítimas. O hacker também tenta chamar a atenção do usuário desfigurando o perfil.
Depois que o perfil foi comprometido, outras contas o seguiram imediatamente. Alguns eram perfis falsos, enquanto os outros eram perfis anteriormente roubados ou os próprios hackers. Depois de algum tempo, o hacker removeu as contas invadidas de suas listas de seguidores, embora algumas tenham retornado. Isso provavelmente porque ele percebeu que seu modo estava sendo monitorado.
Em um exemplo, vimos o hacker ameaçando excluir a conta ou nunca devolver o perfil roubado, a menos que a vítima pagasse um resgate ou enviasse fotos ou vídeos com “nudes”. O hacker também informou aos outros que ele roubou outra conta.
Procurando por mais informações sobre “Hesap Ebedi” (palavras em turco para “conta” e “eterna”), os pesquisadores encontraram um fórum de um grupo hacker discutindo como gerenciar contas roubadas para que seus proprietários não possam recuperá-lo, mesmo com a ajuda do Instagram para a recuperação de conta.
A Trend Micro encontrou em contato e divulgou suas descobertas no Facebook e no Instagram, mas até o momento não recebeu uma resposta.
Leia também: Ataques de phishing já roubaram mais de US$1,2 bilhão em criptomoedas