Hackear um perfil em redes sociais é simples e rápido. Os criminosos só precisam convencer suas vítimas a enviar dados ou realizar ações achando que é por uma determinada razão, que na verdade, não existe, o que é denominado como “engenharia social”. Criminosos usam as redes sociais hackeadas ou não para aplicar vários golpes, visando lucros. Utilizando a “engenharia social” (arte da enganação), hackers convencem as vítimas a enviar um código para participar de um sorteio, que, na verdade, vai dar acesso às suas contas. As principais falhas de segurança que os hackers se aproveitam são: senhas fracas e óbvias, bem como, a “inocência” da vítima em achar que foi premiada de alguma forma.

Os criminosos utilizam-se de engenharia social para criar links semelhantes às páginas verdadeiras. Por esses links, os criminosos obtêm dados e informações pessoais das vítimas. Ao AjuNews, o especialista em Defesa Cibernética e executivo da IMX2, Marcelo Cruz, explicou que, ao acessar as contas das vítimas, o principal risco para as pessoas é ter a sua privacidade completamente devassada. “Conversas, fotos, tudo que ela já fez na rede social invadida ficará à disposição do atacante. Como sempre digo, dados não ‘desvazam’”.

De acordo com Marcelo, o objetivo dos criminosos com o furto de contas em redes sociais é o ganho financeiro fácil. “Associe a isso o fato quase certo da impunidade e pronto, tens a receita perfeita para estimular a criminalidade. Quantas pessoas vocês já ‘ouviram falar’ que já foram presas por este tipo de crime? A impunidade é a fomentadora dos crimes, sejam eles quais forem”.

Conforme dados do Anuário Brasileiro de Segurança Pública deste ano, o número de casos de estelionato por meio eletrônico registrado em 2021 (60.590 registros) é, aproximadamente, oito vezes maior que em 2018, quando foram registrados 7.591 crimes deste tipo no Brasil. Dados da Secretaria de Segurança Pública de Sergipe (SSP-SE) cedidos ao AjuNews, apontam uma redução no número de registros de golpes na internet em Sergipe entre janeiro e julho. No ano passado, foram registrados neste período 2.999 casos contra 2.804 crimes confirmados até julho de 2022 no estado. Ao todo, em 2021, foram registrados 5.160 casos.

Entenda como os criminosos fazem para hackear contas e aplicar golpes em nome de suas vítimas:
– Após conseguir acesso a uma conta, o criminoso utiliza esta para poder invadir outras contas, e replicar estes passos tantas vezes quanto possível forem.

– Exemplo: Uma conta de um restaurante sendo invadida, o criminoso envia para todos os seguidores um aviso de que irá disponibilizar um sorteio para um almoço/jantar. Para que os seguidores concorram, devem enviar uma captura de tela que ele irá enviar para o número de telefone cadastrado na plataforma.

– Os seguidores, de fato, irão receber um SMS. Acontece que, ao encaminharem para o restaurante as informações contidas, na verdade, estarão dando ao criminoso acesso à sua conta (se estiver sem o segundo fator de autenticação ativado).

– O leitor mais atento notará que, no exemplo acima, apesar de ter tido acesso, nenhum ganho financeiro foi obtido pelo atacante. Isto acontece pelo fato do criminoso ter utilizado a conta do restaurante como “base” para lançar um ataque de engenharia social (convencer os seguidores a enviarem o SMS que dará acesso a suas contas) e a partir daí sim, ele poderá lançar o ataque para obter lucro, como no exemplo a seguir.

– Estando dentro da conta da vítima, a primeira ação do atacante é, sem grandes surpresas, ativar o segundo fator de autenticação. Por qual razão? Simples: ainda que a vítima consiga resetar a senha, ela continuará sem acesso a conta, afinal de contas, este é o objetivo do segundo fator de autenticação (2FA), negar acesso a quem não o possua.

– Após este passo, ele altera os dados de recuperação da conta (e-mail / telefone). Em seguida, sabendo que a vítima, ainda que consiga recuperar a conta, precisará de tempo para isso, ele lança a parte do ataque que irá, de fato, lhe auferir ganhos financeiros.

– Nos stories, como se fosse o titular do perfil, ele coloca inúmeros bens à venda, como por exemplo, televisores, eletrodomésticos, e afins. Nas imagens ele coloca o valor de cada item (muito abaixo do mercado) e o PIX para transferência.

– Para não levantar suspeitas, não é incomum eles colocarem que tais bens são de um “amigo” que está de mudança para outro país e que por isso ele está se desfazendo dos bens, já que não terá condições de levar consigo.

– Se o PIX estiver em nome dele, pode parar por aí, do contrário, diz que o PIX está em nome da sua esposa/marido. Como podem perceber, este é mais um ataque de engenharia social. Não foram citados nenhum ataque técnico. Todos tiveram como base a Engenharia Social.

Recuperação e proteção de contas
Uma vez hackeado, há a possibilidade do perfil voltar para o proprietário da conta. Marcelo Cruz, que é especialista em resgate de contas, explica que existem técnicas e procedimentos que podem ser aplicados para que contas roubadas retornem aos seus verdadeiros titulares, no entanto, cabe destacar que dados não “desvazam”. O fato da conta retornar não significa que os dados não vazaram. O especialista recomenda que quanto menos dados pessoais expostos, melhor para as pessoas.

O especialista em Defesa Cibernética destacou dois pilares para a proteção das contas, são eles: o técnico e o comportamental. “Do ponto de vista técnico, minha recomendação principal é ativar o segundo fator de autenticação. Com este recurso, ainda que algum meliante consiga o obter acesso ao usuário e senha(primeiro fator: algo que o usuário sabe) da vítima em potencial, ele ainda precisa ter acesso ao segundo fator de autenticação (algo que o usuário tem), que pode ser um aplicativo que gera códigos diferentes de 30 em 30 segundos; uma chave de segurança física; um e-mail para onde o código será enviado, dentre outras soluções”.

Apesar do pilar técnico ser importante quando se trata de segurança no ambiente virtual, Marcelo ressalta que o pilar comportamental é o mais importante, isso porque no técnico, uma vez que você o implemente, ele estará lá, ou seja, é binário: ou está ativo ou inativo; está atualizado ou desatualizado. “Pensemos juntos: ainda que se possa ter um pilar tecnológico ‘perfeito’, como ele é comandado e/ou gerenciado? Exatamente! Uma pessoa é responsável por isso. Neste caso, ao invés de tentar burlar algo sofisticado, basta manipular quem controla o sistema”.

À reportagem, a SSP-SE afirmou que, para se proteger, as pessoas devem manter suas redes sociais fechadas e não devem expor informações pessoais que possam levar os criminosos a praticarem golpes tanto contra a própria vítima, quanto para contatos próximos e familiares. Também é recomendável evitar publicar informações que mostrem onde a pessoa está naquele momento ou que acabem fornecendo informações sobre onde trabalham ou estudam e em qual horário desempenha essas ações.

Embora o crime de estelionato em meios eletrônicos tenha crescido no país nos últimos anos, a pasta informou que não há um padrão definido usado pelos golpistas, no entanto, os criminosos optam por escolher vítimas mais fáceis com dados expostos, por exemplo. Além disso, os criminosos utilizam-se também de temas atuais para enviar links em que as vítimas acabam fornecendo dados pessoais e também de acesso às redes sociais.

Ao ter um perfil hackeado e sofrer um golpe, as vítimas devem procurar uma delegacia ou o Departamento de Crimes Contra o Patrimônio (Depatri) para registrar o boletim de ocorrência.

Leia mais:
DNA hacker: Vítima relata momentos de terror com golpes, acusação de pedofilia e envio de nudes após conta ser hackeada
DNA hacker: Exposição e vazamento de dados após contas hackeadas podem afetar psicologicamente