Perfis no Instagram viraram alvos de criminosos que se utilizam de um arsenal de técnicas para roubar as contas e induzir seguidores a fazerem transferências, geralmente por Pix.
Depois de invadir o perfil de um alvo, os golpistas usam iscas muito parecidas para tentar ganhar dinheiro: eles fazem stories se passando pelo dono da conta avisando que um parente está se mudando do Brasil e, por isso, está vendendo alguns itens como eletrodomĂ©sticos ou eletrĂ´nicos. Os preços sĂŁo baixos porque a pessoa precisa agilizar a saĂda do paĂs.
Em outras roupagens, os golpistas anunciam celulares a preços baixos que supostamente foram trazidos por algum parente dos Estados Unidos ou perfis que se passam por estabelecimentos comerciais enviam mensagens oferecendo vantagens, como sorteios ou promoções.
Os interessados entram em contato por direct (as mensagens privadas da rede social) e perguntam como podem combinar a compra. O criminoso, entĂŁo, envia uma chave Pix e pede o comprovante – apĂłs o pagamento ser efetuado, o golpista bloqueia a vĂtima. Se questionado pela possibilidade de retirar o equipamento pessoalmente, nĂŁo responde.
A falcatrua tem feito diversas vĂtimas e lesa aqueles que acreditam na oferta e o dono do perfil – que nada tem a ver com as postagens e teve seu perfil roubado por criminosos.
Foi o que aconteceu com o publicitário Daniel Limão, de 23 anos, em dezembro passado. Uma conta de um restaurante que ele frequentava enviou uma mensagem para avisar de um sorteio e pediu o telefone. Depois disso, o golpista avisou que chegaria um SMS no telefone de Daniel e pediu que ele colasse o link da mensagem no chat.
Sem desconfiar, a vĂtima passou o link e teve o perfil sequestrado. O procedimento Ă© muito parecido com o que criminosos usam para roubar contas de WhatsApp, quando Ă© solicitado o cĂłdigo de autenticação.
De posse da conta, os criminosos publicaram stories com ofertas e pediram a contatos dele que emprestasse uma quantia em dinheiro, que seria devolvida no dia seguinte – uma amiga de Daniel perdeu R$ 200.
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2022/B/J/MAN2KeTmOY20D9vAUABw/golpe-daniel-limao.jpeg "Golpe no Instagram usa perfil de vĂtima para anunciar ofertas falsas a seguidores; veja como se proteger")
Criminoso publicou stories oferecendo celulares a preços baixos que supostamente foram trazidos por sua prima dos Estados Unidos — Foto: Arquivo pessoal
Essa é uma das formas mais comuns do roubo do perfil do Instagram, segundo o especialista em cibersegurança da Kaspersky, Fabio Assolini.
“No final, minha conta foi transformada no perfil de outro restaurante pra aplicar mais golpes”, contou Daniel ao g1, que nĂŁo conseguiu recuperar o perfil.
“Jamais compartilhe nenhum link, nenhum cĂłdigo”, aconselhou Assolini.
“Em um caso que acompanhei, uma pessoa que tem um perfil relevante dentro do Instagram foi contactada por mensagem e pensou que estava falando com o suporte do Instagram, que estava oferecendo a conta verificada, aquele sĂmbolo azul. O golpista disse: ‘olha, pra vocĂŞ ganhar a conta verificada, vocĂŞ vai receber um SMS. Manda pra mim.’ A pessoa mandou. E com isso a conta foi sequestrada”, contou.
Como se proteger
A maneira mais eficaz de se proteger contra essas tentativas de invasões é ativar a autenticação de duplo fator.
Com essa etapa extra, além de inserir a senha, é preciso incluir um outro código de acesso, enviado para um aplicativo instalado no seu celular.
Para ativar o recurso, navegue até as Configurações do Instagram, toque na opção Segurança e, em seguida, Autenticação de dois fatores.
É importante que o fator de autenticação não seja SMS, já que os criminosos se valem de outros métodos para roubar perfis, como o que sofreu Mateus Zafanella, especialista em harmonização facial com mais de 100 mil seguidores no Instagram.
Os criminosos usaram uma tĂ©cnica de clonagem do nĂşmero de celular conhecida como “SIM Swap” – de posse da linha, os criminosos conseguem realizar a recuperação de senha de todas as contas atreladas ao nĂşmero, como e-mail, WhatsApp e outras contas que enviam cĂłdigos de confirmação por SMS.
Por isso, a importância da autenticação em duplo fator não usar os torpedos, que podem ser interceptados.
Essa clonagem de linha de telefone pode acontecer com a ajuda de um funcionário da operadora ou quando o criminoso infecta um computador da operadora com um vĂrus e ele mesmo abre o sistema e faz a troca do nĂşmero de um chip para outro – muitas vezes, o golpista “devolve” o nĂşmero apĂłs realizar as invasões desejadas.
Zafanella teve todas as suas contas nas redes sociais, incluindo WhatsApp e e-mail, invadidas por criminosos que aplicaram golpes em pelo menos 20 seguidores dele.
No site de sua clĂnica, ele publicou um vĂdeo contando o ocorrido e dizendo que registrou boletim de ocorrĂŞncia na polĂcia no dia 13 de janeiro para que o crime seja investigado.
“Pessoal, meu perfil @dr.mattzafanella foi hackeado. VocĂŞs que me seguem, estĂŁo vendo algumas promoções e divulgações de videogame, geladeira, sorteios e rifas. NĂŁo somos nĂłs, nĂŁo sou eu”, afirmou no vĂdeo.
Ao g1, Mateus Zafanella disse que viveu “dias de angĂşstia e medo” porque, alĂ©m de ter a imagem pĂşblica danificada, os criminosos procuraram a famĂlia dele para tentar uma extorsĂŁo e negociar a devolução da conta.
Uma das reclamações frequentes das vĂtimas Ă© a dificuldade de entrar em contato com o Instagram para comunicar o golpe e reaver seus perfis. A conta do dentista, por exemplo, sĂł foi restabelecida apenas na manhĂŁ de 24 de janeiro, apĂłs a publicação de uma reportagem do g1.
Outras técnicas de invasão
Outra técnica utilizada comumente envolve páginas falsas que simulam a tela de login do Instagram.
“Em geral, há um pedido para acessar algo e ganhar alguma coisa. Pode ser um site para vocĂŞ ganhar mais seguidores. A pessoa clica no link, tenta autenticar no Instagram e acaba fornecendo o usuário e senha dela”, explicou Thiago Bordini, diretor de inteligĂŞncia cibernĂ©tica na Axur.
“A pessoa usa uma senha no Instagram e essa mesma senha ela repetiu e usou em outro site qualquer. Um criminoso invade esse site e captura a base de dados com logins e senhas. AĂ, coincidentemente, aquela senha Ă© a mesma que a pessoa usa no Instagram e o perfil Ă© invadido”, contou Assolini.
Por isso, é importante não repetir as senhas – um gerenciador de senhas é uma boa pedida para não ter que lembrar de todos os logins.
O que diz o Instagram
Em nota, a rede social disse que “trabalha de forma contĂnua na implementação de recursos capazes de barrar o acesso de hackers a contas de terceiros, como a autenticação de dois fatores e Solicitação de Login, em campanhas educativas de identificação e prevenção a esse tipo de ataque, bem como em ferramentas e processos para a recuperação de contas da plataforma”.
A plataforma também enviou instruções para proteger as contas:
- NĂŁo clique em links desconhecidos, especialmente se nĂŁo tiverem sido ativamente solicitados por vocĂŞ pelos caminhos oficiais de marcas ou estabelecimentos.
- NĂŁo compartilhe links ou cĂłdigos de acesso recebidos por e-mail, SMS ou WhatsApp. Eles podem ser o cĂłdigo de acesso Ă sua conta.
- Ative a autenticação de dois fatores: Com essa etapa extra de segurança, além da sua senha, você também receberá um código de acesso novo, no dispositivo de sua preferência, que deverá ser informado todas as vezes que iniciar um login na sua conta. Para ativá-lo, vá em Configurações>Segurança>Autenticação de dois fatores.
- Ative a Solicitação de login: Ao ativar a autenticação de dois fatores no Instagram, vocĂŞ receberá um alerta toda vez que alguĂ©m tentar entrar na sua conta por meio de um dispositivo ou navegador da web nĂŁo reconhecido. VocĂŞ pode aprovar ou recusar de imediato a solicitação nos seus dispositivos conectados. Sempre que desejar, tambĂ©m Ă© possĂvel ver uma lista dos dispositivos que entraram recentemente na sua conta do Instagram. Para isso, basta acessar “Configurações”, “Segurança” e “Atividade de login”.
- Desconfie de publicações na internet que ofereçam serviços e bens por um valor abaixo do preço de mercado.
- A plataforma tambĂ©m disponibiliza a visualização de e-mails enviados oficialmente pelo Instagram no prĂłprio aplicativo, para os usuários saberem que receberam uma mensagem autĂŞntica em seu e-mail cadastrado. Para conferir se o Instagram tentou entrar em contato com vocĂŞ, acesse as Configurações, Segurança e E-mails do Instagram. NĂŁo clique em links de e-mails que afirmam ser do Instagram se nĂŁo for possĂvel confirmar que o Instagram realmente os enviou por meio desse recurso.
- Verifique se seu nĂşmero de telefone e e-mail estĂŁo atualizados no aplicativo.
- Jamais informe sua senha a terceiros.
Lembramos ainda que qualquer pessoa que tiver acesso ao e-mail e/ou telefone cadastrado em uma conta do Instagram poderá ter acesso a ela. Assim, é importante se certificar que a conta de email vinculada ao Instagram esteja segura e que a autenticação de dois fatores do Instagram esteja ativada a opção mais segura contra clonagem de chip de celular é a autenticação de dois fatores por aplicativo de terceiros (como o Duo Mobile ou o Google Authenticator). Com a autenticação por aplicativo ativa, é necessário inserir um código de segurança gerado pelo aplicativo sempre que tentar fazer login a partir de dispositivo ou navegador da web não reconhecidos.
Caso o usuário perca acesso ao telefone cadastrado em sua conta de Instagram, será necessário abrir uma solicitação de suporte junto à Central de Ajuda do Instagram.
Recomendamos também que as pessoas desconfiem de publicações de perfis do Instagram que anunciam a venda de itens, como celulares e produtos eletrônicos, além de rifas e vaquinhas para causas sociais. Sugerimos entrar em contato diretamente com o dono do perfil para checar a veracidade da publicação antes de realizar uma transferência bancária.
O processo de recuperação de conta pode levar algum tempo, uma vez que Ă© preciso garantir que todos os requisitos de segurança sejam cumpridos para devolver a conta ao seu legĂtimo dono. Vale destacar que a recuperação de conta deve ser feita pelos caminhos indicados na Central de Ajuda do Instagram. Segue o passo a passo, abaixo:
- Verifique se há uma mensagem do Instagram na sua conta de email: Se vocĂŞ recebeu um email de security@mail.instagram.com informando que seu endereço de email foi alterado, poderá desfazer a ação usando a opção “reverter essa alteração” na mensagem do email. Por isso Ă© importante sempre manter seu e-mail e telefone atualizados.
- Se outras informações tambĂ©m foram alteradas (por exemplo, sua senha) e nĂŁo foi possĂvel reverter seu endereço de email, solicite um link de login ou um cĂłdigo de segurança ao Instagram: na tela de login, toque em Obter ajuda para entrar sob Entrar.
- Se nĂŁo vocĂŞ nĂŁo conseguir recuperar sua senha com o link de login, Ă© possĂvel solicitar o nosso suporte (toque em “Precisa de mais ajuda?”).
- Para recuperar a conta, será necessário um endereço de email seguro, diferente do usado anteriormente, ao qual somente você tenha acesso. Depois de enviar a solicitação, você receberá um email do Instagram com as próximas etapas.
