Redes sociais
Publicidade

Por Ana Letícia Loubak, do Home Office


Um golpe elaborado de engenharia social usa o Instagram para enganar vítimas que estão em busca de eletrodomésticos e móveis usados. Após invadirem contas legítimas, criminosos publicam Stories anunciando TVs, geladeiras, máquinas de lavar e outros produtos em ótimo estado de conservação e por preços atrativos. A publicação é feita em nome de um suposto amigo ou vizinho que está de mudança e precisa vender os itens, o que inibe suspeitas. Com bastante lábia, os golpistas convencem a vítima a fazer uma transferência via Pix para reservar o produto, que nunca é entregue.

O ponto de partida para o golpe é uma ação de phishing. Criminosos criam perfis falsos de hotéis e restaurantes populares no Instagram e abordam os usuários por mensagem direta (DM), oferecendo promoções. Para ganhar os prêmios, porém, é preciso fornecer o número do celular e clicar em determinado link, que é usado pelos golpistas para capturar as credenciais da conta. Quando a vítima se dá conta da fraude, já não tem mais acesso ao perfil.

Instagram é terreno fértil para a aplicação de golpes online — Foto: Solen Feyissa/Unsplash

Golpe do iPhone roubado: já aconteceu com vocês? Participe no Fórum do TechTudo

Foi exatamente o que aconteceu com Larissa, professora universitária. A vítima, que não quis ter o sobrenome identificado, caiu em uma promoção fraudulenta publicada por um perfil falso de um restaurante famoso e seguiu as instruções do suposto estabelecimento. Assim que notou que a conta havia sido hackeada, tentou reverter a situação, mas sem sucesso.

"Tentei mudar a senha, tentei clicar em um link recebido por e-mail pelo próprio Instagram afirmando que não reconhecia aquele acesso. Mas era tarde, pois o estelionatário já havia alterado o número de celular para recuperação da senha", explica Larissa. Sem acesso à conta do Instagram, ela começou a contatar amigos por outros meios para informá-los sobre a fraude, e pediu a eles para compartilhar o alerta.

De posse da conta de Larissa, os criminosos anunciaram, nos Stories do perfil, a venda de móveis e eletrodomésticos usados. As fotos dos produtos eram bastante realistas e mostravam o interior de uma casa. Segundo afirmaram os golpistas, os anúncios tinham o objetivo de ajudar um amigo a se desfazer dos produtos.

Larissa conseguiu recuperar a conta na manhã seguinte à invasão, repetindo procedimentos que, segundo ela, não haviam funcionado na noite anterior. "Eu me importava com as pessoas que poderiam cair no golpe, e também fiquei preocupada com outras informações que os bandidos poderiam acessar dentro do meu perfil", conta a professora. Após o susto, ela foi à delegacia fazer um boletim de ocorrência, mas decidiu não prosseguir com a investigação.

Golpe usa fotos realistas e pretexto de mudança para enganar vítimas

O golpe aplicado no perfil de Larissa enganou duas vítimas e as fez perder dinheiro. Uma delas é a tia de Carolina Zanelato, ex-aluna de Larissa. Carolina viu o anúncio de uma geladeira cujo preço é, em média, R$ 3.500 sendo vendida por R$ 1.900 e encaminhou a oferta para um grupo de WhatsApp, do qual a tia fazia parte.

No mesmo dia, a vítima, que não quis se identificar, entrou em contato com o golpista, que pediu a realização de uma transferência via Pix no valor de R$ 600 para reservar o produto. A chave informada pelos criminosos, porém, não estava registrada em nome de Larissa. Isso despertou a desconfiança da vítima, que perguntou à Carolina se a professora era alguém confiável.

Anúncio de geladeira feito nos Stories do perfil de Larissa — Foto: Reprodução/Carolina Zanelato

"A narrativa fazia muito sentido. A geladeira tinha oito meses de uso e estava sendo vendida por um preço bom, mas não tão barato assim. Além disso, minha professora era alguém muito séria e de confiança. Outras amigas que estudaram comigo viram a publicação e não desconfiaram de nada", conta Carolina.

Diante do respaldo da sobrinha, a vítima fez o depósito. No dia seguinte, Carolina se deparou com uma publicação de Larissa em outra rede social informando que o perfil do Instagram havia sido hackeado, mas já era tarde.

Por pouco, o mesmo não aconteceu com Guilherme Teixeira. Ele estava se preparando para fazer mudança e buscava itens usados por preços acessíveis. Foi quando viu, no perfil de um amigo próximo, anúncios com fotos de móveis, eletrodomésticos e eletroeletrônicos usados.

Guilherme se interessou por uma geladeira e uma lava e seca e, sem desconfiar do golpe, entrou em contato com o falso amigo perguntando como poderia fazer para comprar os produtos. O golpista, então, respondeu explicando que os itens pertenciam a uma amiga que ia se mudar e precisava se desfazer dos itens. O criminoso acrescentou que os produtos estavam sendo vendidos muito rápido e que, por isso, seria interessante fazer um depósito para reservá-los, como um sinal.

Conversa com golpista por meio de mensagem direta no Instagram — Foto: Reprodução/Guilherme Teixeira

Ainda sem desconfiar, Guilherme pediu para ver pessoalmente os produtos. O criminoso aceitou, mas enviou uma resposta que levantou suspeitas. "Ele disse que estaria em casa a partir das 16h, porque esse era o horário que ele saía do serviço. Então, eu lembrei que o meu amigo estava desempregado e trabalhando só como freelancer, desconfiei e decidi não transferir dinheiro", explica.

Nesse momento, Guilherme enviou uma mensagem via WhatsApp para o verdadeiro amigo, que informou ter sido vítima de invasores no Instagram, e descobriu a fraude. Se tivesse feito a transferência, ele teria perdido R$ 2.800.

O que diz o Instagram

Procurado pelo TechTudo, o Instagram afirmou que dispõe de mecanismos de segurança para detectar a ação de invasores e impedir o acesso destes a contas, bem como recursos para proteger a segurança dos usuários. Em nota, a empresa reforçou a importância de desconfiar de publicações que oferecem bens e serviços por preços baixos e orientou os usuários a denunciarem posts e contas suspeitas.

"O Instagram faz uso de sistemas sofisticados para detectar e impedir a ação de indivíduos mal intencionados antes que eles obtenham acesso a contas e disponibiliza recursos de segurança para ajudar a proteger os usuários, como 'autenticação de dois fatores' e 'atividade de login', além de diferentes caminhos para a recuperação de contas, que podem ser encontrados na Central de Ajuda. Recomendamos ainda que as pessoas desconfiem de publicações na internet que ofereçam serviços e bens por um valor abaixo do preço de mercado e pedimos que denunciem através do aplicativo publicações e contas que considerarem suspeitas", afirma a nota do Instagram.

A rede social compartilhou instruções para manter a conta segura. Entre elas estão ativar a autenticação em dois fatores e não compartilhar links ou códigos de acesso recebidos do Instagram por SMS ou WhatsApp. O Instagram também pede aos usuários para verificar se o número de telefone e e-mail estão atualizados no aplicativo. Segundo a empresa, esses dados permitem tentar a recuperação do acesso à conta, mesmo que as informações tenham sido alteradas por um hacker.

Como se proteger

O golpe é bem elaborado e, segundo as vítimas, o que mais engana é o fato de os produtos serem anunciados no perfil de uma pessoa próxima e confiável. No entanto, o modus operandi dos criminosos é semelhante, de forma que é possível escapar da fraude seguindo recomendações simples e atentando para alguns detalhes.

Para Fábio Assolini, analista de segurança sênior da Kaspersky, antes de concluir qualquer transação, é importante confirmar a autenticidade da história com o dono da conta por meio de um canal não acessível ao golpista. Vale enviar uma mensagem via WhatsApp ou fazer uma ligação telefônica, por exemplo.

Outra recomendação é observar os dados da chave Pix informada pelo criminoso. Segundo Assolini, o envio de uma chave registrada em nome de terceiros é um dos indícios mais fortes de que se trata de um golpe.

Instantaneidade na liquidez da transação faz do Pix um dos meios de pagamento mais usados pelos criminosos — Foto: Helito Beggiora/TechTudo

"Pode ser que a chave pertença a um laranja que faz parte do esquema criminoso, ou alguém sem relação com o golpe, mas que teve os dados usados para abrir uma conta em uma fintech", explica o especialista. Ele alerta, no entanto, que o golpista sempre terá uma desculpa para isso, o que reforça a importância de checar a história com o dono da conta.

Também é válido prestar atenção no comportamento do criminoso. Segundo Assolini, os golpistas têm pressa e recorrem a diversas artimanhas para que a vítima efetue a transferência o mais rápido possível.

"Eles vão fazer pressão psicológica, dizendo que os produtos estão acabando ou que há muitas pessoas interessadas no item, por exemplo, para justificar a solicitação do envio de um sinal", alerta. Nesse sentido, a liquidação instantânea das transferências via Pix trabalha a favor dos criminosos, que recebem o dinheiro na hora e podem sacá-lo ou transferi-lo rapidamente.

Por fim, outra dica é fazer uma busca reversa das fotos dos produtos anunciados. Utilizando o Google Imagens ou o TinEye, é possível identificar a origem das imagens e encontrar fotografias semelhantes. Se elas constarem de sites como Mercado Livre, OLX e outros marketplaces de mercadorias usadas, é provável que o anúncio no Instagram seja golpe.

Caí no golpe. E agora?

Se você foi vítima do golpe, a recomendação é entrar em contato com a sua instituição financeira e reportar a fraude, solicitando o estorno do valor enviado.

"A denúncia será consolidada e enviada para as equipes de segurança do banco ou fintech, as quais posteriormente vão agir para congelar ou cancelar a chave Pix", explica Assolini. Segundo ele, é comum a reutilização de chaves Pix em golpes. Logo, a denúncia é importante para evitar que outras pessoas caiam na fraude.

Em seguida, é preciso avisar à pessoa que teve o perfil hackeado, para que ela possa alertar outros sobre a ocorrência do golpe e impedir que surjam novas vítimas.

Veja também: Cinco dicas para usar o WhatsApp com segurança

WhatsApp: cinco dicas para usar o app com segurança

WhatsApp: cinco dicas para usar o app com segurança

Mais do TechTudo