O phishing de mídia social é uma forma de ataque cibernético usando sites de redes sociais em vez de e-mails. Embora o canal seja diferente, o objetivo é o mesmo - induzi-lo a fornecer suas informações pessoais ou baixar um arquivo malicioso.
A mídia social é uma das favoritas entre os cibercriminosos porque não há falta de vítimas. E por causa do ambiente confiável, há uma mina de ouro de dados privados que eles podem usar para lançar um ataque de spear-phishing de acompanhamento.
Veja como eles estão fazendo isso em algumas das plataformas mais populares.
o Facebook
O Facebook é a terceira marca mais comumente personificada para ataques de phishing. Com mais de 2,6 bilhões de usuários em todo o mundo, é fácil entender por quê. A plataforma oferece uma infinidade de perfis e mensagens repletas de informações pessoais para os phishers explorarem.
Os ataques ao Facebook costumam ser direcionados aos consumidores e não tanto às grandes organizações. Os phishers usam a engenharia social para atrair vítimas inocentes para que exponham seus dados.
Eles fingirão ser do Facebook e enviarão e-mails aos usuários sobre um alerta de segurança, por exemplo. A partir daí, os usuários são instruídos a fazer login em seus perfis do Facebook e alterar sua senha. Eles são então enviados para uma página de login falsa do Facebook, onde suas credenciais são coletadas.
Como o phishing atinge seus amigos
Se eles tiverem acesso à sua conta, eles podem lançar uma rede mais ampla vitimizando seus contatos. Eles também podem usar as informações que seus amigos compartilham com você em uma campanha de spear-phishing mais direcionada.
Os phishers usarão sua conta para enviar mensagens ou postar um status com um link malicioso. E como seus contatos confiam em você, há uma chance maior de eles clicarem nele.
O que é Angler Phishing?
Isto é um tipo de phishing que usa mídia social, mas tem um MO mais sofisticado. Eles têm como alvo os usuários que postam (principalmente discursos) sobre um serviço ou sua conta. Os invasores fingem ser do provedor de serviços e enviam ao usuário um link para entrar em contato com um representante de atendimento ao cliente.
Os golpistas usam técnicas de phishing para enganar as vítimas. Aprenda como detectar ataques de phishing e se manter seguro online.
Mas você adivinhou: o link leva a um site falso para colher informações.
O que costumava ser uma galeria de selfies agora é um negócio multimilionário usado pelas maiores marcas e influenciadores do mundo.
Como os phishers no Facebook, aqueles que exploram o Instagram enviam e-mails aos usuários alertando-os sobre um alerta de segurança. Por exemplo, pode ser uma mensagem sobre uma tentativa de login de um dispositivo desconhecido. O e-mail tem um link que direciona os usuários a um site falso, onde as informações de login são coletadas.
Assim que obtiverem acesso, eles terão uma mina de ouro de informações pessoais para explorar de maneiras diferentes. Um ataque sinistro, por exemplo, envolve chantagear você ou seus amigos ameaçando vazar fotos que você compartilhou em particular ou através do Instagram Direct Messenger (IGdm), se você não ceder em suas demandas.
O que é um golpe de violação de direitos autorais?
Se os phishers colocarem as mãos em contas comerciais, especialmente as verificadas, eles poderão lançar campanhas de phishing mais insidiosas por meio do IGdm.
Uma conta verificada para a filial de uma grande empresa no Chile, por exemplo, foi relatada por usuários em junho de 2020 por enviar mensagens de phishing.
A mensagem alertou os usuários sobre uma violação de direitos autorais em uma postagem. O restante da mensagem dizia: “Se você acha que a violação de direitos autorais é errada, forneça um feedback. Caso contrário, sua conta será encerrada em 24 horas. ” O link para o feedback era, obviamente, uma página falsa do Instagram que coletava informações de login.
O que é um Blue Badge Scam?
Nada parece tão legítimo quanto ter aquele cheque azul cobiçado. Os phishers também exploram isso.
Um esquema de phishing do Instagram envolve o envio de um e-mail aos usuários oferecendo-lhes um selo certificado. Depois que os usuários clicam no botão "Verificar conta", eles são direcionados a uma página de phishing, onde suas informações pessoais serão coletadas. Na maioria das vezes, influenciadores e usuários “famosos da Insta” são alvos desse tipo de ataque.
Verificação de saída nosso guia sobre como ser verificado no Instagram para contornar esses golpistas.
A principal plataforma para a comunidade empresarial mundial, usada por mais de 700 milhões de profissionais, também é um alvo favorito dos phishers.
As pessoas confiam no LinkedIn mais do que em qualquer outro site de rede social, de acordo com um relatório de confiança digital. Os usuários também são mais propensos a postar detalhes sobre seus trabalhos, tornando-os um alvo principal para ataques de spear phishing e caça às baleias.
Uma das campanhas mais cruéis de phishing de mídia social é um ataque que visa candidatos a emprego no LinkedIn. Os cibercriminosos se passam por recrutadores e chegam aos usuários sobre uma postagem de emprego falsa por meio do LinkedIn Messaging.
Os phishers o atraem dizendo que seu histórico é perfeito para a função que estão tentando preencher. Eles vão tornar isso ainda mais irresistível com um pacote de remuneração maior.
Você verá um link que o phisher diz que contém todos os detalhes sobre o trabalho. Como alternativa, eles podem enviar um anexo em Microsoft Word ou Adobe PDF para download.
Parece emocionante, especialmente para quem está procurando emprego. Mas os links levam você a uma página de destino falsificada e o arquivo do Word tem macros para iniciar o malware. Este último pode roubar seus dados ou abrir um backdoor para o seu sistema.
RELACIONADO: Como bloquear alguém no LinkedIn
Existem duas solicitações de contato falsas mais comuns. O primeiro vê os usuários recebendo um e-mail alertando-os sobre uma solicitação de contato. Isso vem com um link que leva a uma página de login falsa do LinkedIn.
O segundo é mais complicado: envolve a criação de contas falsas e o envio de solicitações de conexão de dentro do LinkedIn. Uma vez você aceita o convite, os phishers têm acesso a mais informações em seu perfil e ficam um passo mais perto de todos os seus conexões.
Eles podem enviar uma mensagem de phishing ou usar suas informações para lançar ataques mais direcionados aos seus contatos. Sendo seu 1stO contato de grau também dá a eles mais credibilidade, tornando seu perfil mais legítimo.
Tenham cuidado com as informações que postam nas redes sociais. Apelidos, professores, cores favoritas, escolas, DOB, cidade natal, animais de estimação são todas perguntas em um teste de senha esquecida. Eu sei que as mensagens da rede são legais e tudo, menos o phishing é uma coisa. Os golpistas adoram as redes sociais para isso. Ser seguro. 🖤
- MELISSA MEDINA 🔜 #IWOCon (@melissamedinavo) 10 de novembro de 2020
Para se proteger contra esses tipos de ataques, não clique em links em e-mails e DMs. Verifique novamente a fonte. Mesmo que pareça que a mensagem é de alguém em quem você confia, há uma chance de que a conta dele tenha sido comprometida.
Ligue para a pessoa primeiro para ter certeza de que é real, especialmente se a mensagem contiver anexos que você está sendo solicitado a baixar.
Sempre verifique a URL dos sites que você visita. Hackers produzem URLs falsificados alterando uma ou mais letras da URL de sites conhecidos. Eles também podem usar letras simbólicas para se parecerem com as letras originais. Passe o mouse sobre os links para examinar todo o URL, que deve aparecer na parte inferior do seu navegador.
Lembre-se de que a correspondência oficial de redes sociais e outras organizações nunca virá de ninguém usando endereços de e-mail com nomes de domínio @gmail ou @yahoo.
Outros sinais indicadores a serem observados são erros tipográficos e gramaticais ou mensagens que o apressam a agir. Este último foi projetado para causar medo ou pânico, então você não terá tempo para pensar.
Se você se expõe a ataques de phishing em redes sociais, arrisca seus amigos e entes queridos, já que os hackers podem usar sua conta como um portal para chegar até eles.
Felizmente, um pouco de cautela e bom senso ajudam muito a se proteger.
Aqui estão várias maneiras pelas quais sua identidade pode ser roubada nas redes sociais. Sim, os golpistas podem roubar sua identidade no Facebook!
- Mídia social
- Segurança
- o Facebook
- Phishing
- Scams
- Segurança Online
Loraine escreve para revistas, jornais e sites há 15 anos. Ela tem mestrado em tecnologia de mídia aplicada e um grande interesse em mídia digital, estudos de mídia social e cibersegurança.
Assine a nossa newsletter
Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!
Mais um passo…!
Confirme o seu endereço de e-mail no e-mail que acabamos de enviar.