Pre-hijacking: o que é o novo golpe que está virando febre até no Brasil
Imagine a seguinte situação: você acorda em uma bela manhã, abre sua caixa de entrada e encontra um e-mail de um site qualquer agradecendo o cadastro feito durante a madrugada. É uma situação bastante atípica, que deixaria qualquer pessoa com uma pulga atrás da orelha. Qual seria a sua reação? Concluir que sofre de sonambulismo? Cogitar que algum membro de sua família usou seu dispositivo enquanto você dormia?
A verdade é que a maioria dos internautas, por pura curiosidade, tentaria fazer login na tal plataforma. Mas… como fazê-lo, se você nem sabe qual senha foi usada durante o cadastro? Ora, é simples: basta clicar no botão de recuperação de senha para obter acesso à conta. Uma vez autenticado, o usuário com certeza vai “fuçar” o site em questão, e, caso se interesse pelas funcionalidades, pode até mesmo enriquecer seu perfil informando mais detalhes pessoais.
Saiba que, se você seguisse todos os passos descritos acima, você seria a mais uma vítima de um novo golpe que assola a internet. Trata-se do pre-hijacking, que, em português, significa algo como “pré-sequestro”. Essa é uma manobra maliciosa na qual um criminoso cibernético se apodera de uma conta que você ainda nem possui. Essa manobra é mais comum do que muitos imaginam e há, inclusive, relatos de vítimas brasileiras.
Roubando o que você (ainda) não tem
O conceito por trás do pré-sequestro é simples, mas bastante engenhoso. Primeiramente, o golpista usa endereços de e-mail vazados em outros incidentes para criar contas em sites aleatórios. A vítima, ao receber a notificação de que uma conta foi criada com seu endereço, tentará obter acesso por pura curiosidade. Para isso, ela vai precisar redefinir a senha usando o recurso de recuperação, com altas chances de escolher uma combinação já usada em outro serviço da web.
Nesse momento, o golpista se aproveita de uma falha estrutural que existe em vários sites: permitir que duas pessoas se mantenham logadas no serviço simultaneamente em dois dispositivos distintos. O criminoso, então, rouba a senha que você cadastrou e poderá usá-la futuramente para tentar invadir outras contas. Caso a vítima use uma senha usada em outros serviços, ele terá sucesso na empreitada.
Como citamos anteriormente, o pré-sequestro pode se tornar ainda mais perigoso se, por algum motivo, a vítima se interessar pelo site no qual foi cadastrada pelo criminoso e passar a usá-lo normalmente, completando o perfil com mais informações pessoais e até mesmo fornecendo dados bancários. Todas essas informações estarão ao dispor do atacante, que, logado na conta, poderá roubar esses dados sem o mínimo de esforço.
Fácil de evitar
Como você pôde conferir, o pre-hijacking é um golpe muito engenhoso e simples, mas que depende, sobretudo, da curiosidade e da ingenuidade do internauta para ter sucesso. Se você receber um e-mail confirmando a criação de uma conta que você não se lembre de ter se registrado, simplesmente ignore-o ou use o recurso de recuperação de senha apenas para cadastrar uma password aleatória e deletar o perfil imediatamente.