Grupo utiliza táticas de phising para roubar perfis de influenciadores digitais
São Paulo, março de 2019 – Os pesquisadores da Trend Micro constataram que hackers obtiveram acesso a contas do Instagram por meio de phishing. Também descobriram que os ataques a perfis populares do Instagram se tornaram uma operação para um determinado grupo de hackers de língua turca. Os pesquisadores encontraram casos em que proprietários de perfis do Instagram com 15k a 70k seguidores foram hackeados e nunca recuperados. As vítimas variam de atores e cantores famosos a proprietários de empresas de startups.
O grupo também se envolve em extorsão digital. Uma vez que a vítima tenta entrar em contato com o hacker, ela é forçada a comprar um resgate ou enviar fotos e vídeos nus para recuperar a conta, mas nunca recuperam o acesso.
Segundo Aloísio Marinho, Sales Engineer da Trend Micro, os hackers ainda parecem tirar vantagem apenas dos próprios influenciadores digitais que tiveram suas contas violadas. “Entretanto, os atacantes irão buscar tomar controle de contas cada vez maiores, com até milhões de seguidores com intuito de tirar vantagem de sua influência e alcance, afetando também, por meio de diferentes táticas, os milhões de usuários que seguem essas contas. ”.
Como acontece
O ataque começa com um e-mail de phishing fingindo ser do Instagram. O e-mail estimula a possível vítima a confirmar a conta para receber o selo Verificado do perfil do usuário do Instagram. Note que o Instagram tem requisitos específicos e o processo de verificação acontece somente depois que um usuário solicitar, além de não pedir credenciais.
Captura de tela do e-mail de phishing solicitando que o usuário verifique sua conta no Instagram
A página de phishing que o usuário é redirecionado para (à esquerda) e outra que solicita as credenciais de e-mail do usuário (centro); depois que as credenciais são digitadas e enviadas, o usuário será redirecionado para uma página que notifica que o perfil foi verificado (à direita)
Quando o usuário clicar no botão “Verificar conta”, ele será redirecionado para uma página de phishing que solicita a data de nascimento, o e-mail e as credenciais do usuário. Existe uma validação básica de dados, não permitindo que o usuário envie um formulário vazio. A vítima também será solicitada a inserir as credenciais de seu e-mail.
Assim que o invasor tiver acesso ao perfil do Instagram da vítima e ao e-mail relacionado à conta, ele pode modificar as informações necessárias para ter acesso à conta roubada. Uma vez enviadas as informações, uma notificação de selo aparece, mas por apenas quatro segundos. Esse é um truque para dar aos usuários a impressão de que o perfil deles foi verificado.
“As imitações de e-mails sempre tentam parecer legítimas, se aproveitando da engenharia social e, nesse caso, do desejo de receber o selo de verificação no perfil, para enganar os usuários”, afirma Aloísio. Para evitar cair em um ataque de phising e ter a conta do Instagram roubada, Aloísio explica que os usuários devem sempre se atentar ao uso de domínios que não sejam da própria rede social, estilos de fontes duvidosos, gramáticas e pontuações incorretas e e-mails que pedem credenciais, pois as redes sociais nunca as solicitam fora de suas páginas de login reais e seguras.
Depois de algum tempo, a página de phishing será desviada para o site do Instagram. Essa é uma tática comum em phishing. É provável que a vítima já tenha feito login com cookies, para ser redirecionada para seu perfil no Instagram.
Os pesquisadores da Trend Micro analisaram a fundo esses casos para entender os motivos dos hackers e como eles operam. Em um perfil do Instagram que foi hackeado, eles mudaram o nome de usuário para “natron_raze”, provavelmente para indicar que foi hackeado. O e-mail associado ao perfil também foi modificado imediatamente. Depois de algum tempo, o e-mail da conta foi alterado novamente. O truque aqui é inundar a vítima com os e-mails de segurança do Instagram, perguntando se as mudanças são legítimas. O hacker também tenta chamar a atenção do usuário desfigurando o perfil.
Um perfil do Instagram desfigurado com o objetivo de chamar a atenção de seu proprietário
Depois que o perfil foi comprometido, outras contas o seguiram imediatamente. Alguns eram perfis falsos, enquanto os outros eram perfis anteriormente roubados ou os próprios hackers. Depois de algum tempo, o hacker removeu as contas invadidas de suas listas de seguidores, embora algumas tenham retornado. Isso provavelmente porque ele percebeu que seu modo estava sendo monitorado.
Em um exemplo, vimos o hacker ameaçando excluir a conta ou nunca devolver o perfil roubado, a menos que a vítima pagasse um resgate ou enviasse fotos ou vídeos nus. O hacker também informou aos outros que ele roubou outra conta.
Procurando por mais informações sobre “Hesap Ebedi”, (palavras em turco para “conta” e “eterna”) os pesquisadores encontraram um fórum de um grupo hacker discutindo como gerenciar contas roubadas para que seus proprietários não possam recuperá-lo, mesmo com a ajuda do Instagram para a recuperação de conta.
A Trend Micro encontrou em contato e divulgou suas descobertas no Facebook e no Instagram, mas até o momento não receberam uma resposta.
Sobre a Trend Micro
A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proteger o mundo virtual para o intercâmbio de informações digitais. Nossas soluções inovadoras para consumidores, empresas e órgãos governamentais oferecem segurança em camadas para data centers, ambientes de nuvem, redes e endpoints. Todos os nossos produtos operam juntos para compartilhar informações de ameaças e oferecer recursos de segurança com visibilidade e controle centralizados, gerando uma proteção cada vez mais forte e ágil. Com mais de 6 mil funcionários em mais de 50 países e a inteligência global contra ameaças mais avançada do mundo, a Trend Micro protege o seu mundo conectado. Para saber mais, acesse www.trendmicro.com.br.
Informações sobre a Trend Micro para a imprensa:
RPMA Comunicação
Cecília Ferrarezzi – cecilia.ferrarezzi@rpmacomunicacao.com.br – (11) 2244-5967
Alisson Costa – alisson.costa@rpmacomunicacao.com.br – (11) 2244-5918
Thais Amaral – thais.amaral@rpmacomunicacao.com.br – (11) 2244-5953