Golpes de extorsão são cada vez mais populares na web: como identificar?
Em mais um dia de trabalho, você abre a sua caixa de e-mails e se depara com uma mensagem peculiar. Um suposto hacker lhe escreveu um texto afirmando saber sua senha e várias de suas informações pessoais; para piorar, ele garante ter instalado um vírus na sua máquina que lhe gravou assistindo conteúdo de teor adulto, e promete compartilhar tal gravação com todos os seus contatos — a menos que você pague pelo silêncio do criminoso.
Essa é uma situação capaz de desesperar qualquer um. Afinal, sejamos realistas: de fato, é perfeitamente possível que um malware grave a tela do computador e acione a webcam de forma involuntária sem que o usuário perceba. Scripts maliciosos também são capazes de roubar dados pessoais — incluindo senhas digitadas em campos de autenticação — e transmiti-los para uma central remota. Sendo assim, o hacker pode estar falando a verdade e o melhor a se fazer é desembolsar a quantia requisitada, certo?
Errado! A situação retratada trata-se, nada mais e nada menos, do que um golpe cada vez mais popular na web e que ficou conhecido por diversos nomes — sextorsão e blackmailing XXX são alguns deles.
Estamos falando de uma tática antiga, usada por estelionatários desde meados de 2018, mas que ganhou força total em 2020 após a adoção forçada e massiva do home office: trabalhando remotamente, os profissionais costumam usar o mesmo dispositivo para fins pessoais e profissionais, o que causa ainda mais desespero quando eles são abordados nesse tipo de armadilha de engenharia social.
Eles realmente têm minha senha?
A resposta é paradoxal: sim e não. A maioria dos e-mails de sextorsão vão direto ao ponto e o criminoso afirma: “Eu invadi seu computador e roubei seus dados pessoais. Eu sei que sua senha é ******”. A senha citada por ele, realmente, é utilizada pela vítima, o que naturalmente lhe causa espanto. Saiba, porém, que o golpista não sabe sua senha por ter hackeado a sua máquina ou espionado a sua atividade online, mas sim por ter encontrado informações suas em um vazamento ocorrido previamente.
Vazamentos de dados, infelizmente, acontecem o tempo todo. Diversos serviços online, lojas virtuais e plataformas web acabam expondo indevidamente dados cadastrais de seus usuários por motivos diversos, e os criminosos se aproveitam dessas brechas para guardar listas que incluem nome, endereço de e-mail e — algumas vezes — a senha utilizada no processo de autenticação. Tais incidentes podem ou não se tornar de conhecimento público; em alguns casos, nem a empresa sabe que aconteceu algo com seu servidor.
De posse de tais informações, os golpistas começam a disparar mensagens para os e-mails obtidos informando a senha que consta no vazamento. O usuário, possivelmente adepto da inadequada prática de usar a mesma senha para outros serviços, teme pela segurança de suas redes sociais e até ferramentas usadas para trabalho. Com o restante das ameaças feitas pelo meliante, o internauta se amedronta e não vê outra alternativa além de pagar o golpista, que geralmente requisita a quantia em criptomoedas (difíceis de rastrear).
Como evitar
Primeiramente, use senhas fortes e atualize-as constantemente, adotando uma senha diferente para cada serviço online utilizado. Dessa forma, caso alguma plataforma que você use seja vítima de um vazamento de dados, os criminosos terão em seu poder uma senha velha que não é mais utilizada em lugar algum. Isso facilitará a identificação do golpe e lhe ajudará a relaxar, sabendo que não houve uma invasão real ao seu computador local.
Ademais, existem sites que informam caso sua conta possa ter sido vítima de um vazamento. O mais famoso é o Have I Been Pwned?, que é muito fácil de usar: basta informar o seu endereço de e-mail e ele buscará por databases conhecidamente vazados que contenha o seu identificador, informando caso sua senha possa ter sido comprometida. Em caso positivo, ligue o alerta vermelho e redobre a atenção, pois você possivelmente será vítima desse tipo de golpe em um futuro próximo.
Por fim, ignore quaisquer e-mails suspeitos, não clicando em links e muito menos baixando arquivos enviados como anexo. Lembre-se, o phishing é uma das formas mais eficientes que a malandragem digital encontrou de disseminar malwares — então, ao respeitar as orientações de uma ameaça falsa, você pode estar correndo o risco de ser infectado de verdade. Analise, pense duas vezes e tome cuidado com a engenharia social!
Produção: Equipe de Conteúdo Perallis Security