No início deste ano, o Facebook foi a rede social mais fácil de replicar de forma fraudulenta pelos hackers, com páginas do Facebook a serem frequentemente falsificadas para roubo de dados pessoais através de ataques phishing.
O phishing de redes sociais é um cibercrime que envolve o roubo de dados pessoais, a partir dos perfis de redes sociais da vítima.
Numa técnica comum, o hacker cria uma cópia de um site de uma rede social, como uma página de Facebook falsa, para onde tenta atrair vítimas inocentes, levando-as a fornecer os seus dados pessoais – como o nome, palavras-passe, número do cartão de crédito ou código PIN, entre outros.
No início do ano em curso, o Facebook foi a rede social mais fácil de replicar de forma fraudulenta pelos hackers, com páginas do Facebook a serem frequentemente falsificadas para roubo de dados pessoais através de ataques phishing.
Estes fazem parte de uma tendência a longo prazo: em 2017, o Facebook tornou-se um dos três principais alvos de phishing, atingindo os 8% de ataques totais, seguido pela Microsoft Corporation (6%) e pela PayPal (5%).
No primeiro trimestre deste ano, o Facebook lidera também na categoria de phishing em redes sociais, seguido pelo VK, rede social russa semelhante ao Facebook, e LinkedIn.
Para isso contribuiu a média mensal de 2.13 mil milhões de utilizadores mundiais ativos, incluindo os que acedem a outras aplicações através das credenciais do Facebook, o que torna os utilizadores da rede social um alvo rentável para os hackers responsáveis por ataques phishing.
Esta realidade reforça a ideia de que os dados pessoais são cada vez mais valiosos no mundo da tecnologia de informação – tanto para organizações legítimas como para hackers. Estes estão em constante busca por novos métodos para atingir os utilizadores, pelo que é importante estar atento a técnicas fraudulentas.
Por exemplo, a tendência mais recente é o envio de spam relacionado com o RGPD, Regulamento Geral de Proteção de Dados, que incluem ofertas para acções de formação, normalmente pagas, de clarificação da nova legislação, ou convites para a instalação de software específico que permite o acesso a recursos online para garantir o cumprimento das novas leis.
Os investigadores da Kaspersky Lab aconselham os utilizadores a adotar as seguintes medidas de proteção contra o phishing:
- Verificar sempre o endereço, o link e o email do remetente antes de clicar em alguma coisa – melhor ainda seria não clicar no link mas inserir o endereço no motor de busca;
- Antes de clicar em qualquer ligação, verificar se o endereço apresentado é o mesmo que o do hyperlink (a localização real para onde a ligação o direciona) – para isso basta passar o rato por cima da ligação, sem clicar nela;
- Utilizar apenas uma conexão segura, em especial se forem visitados websites sensíveis. Como precaução, não utilizar redes Wi-Fi desconhecidas ou públicas que não necessitem de proteção por palavra-passe.
- Como proteção máxima, utilizar uma solução VPN que encripte o tráfego. E não esquecer que, se for utilizada uma conexão insegura, os hackers poderão redirecionar o indivíduo, de forma indetetável, para páginas de phishing;
- Verificar a conexão HTTPS e o nome do domínio quando é aberta uma página web. Estes pormenores são especialmente importantes quando são visitados sites que contêm informação importante – como sites bancários, lojas online, redes sociais, etc.;
- Nunca partilhar os dados mais importantes, como credenciais de acesso, palavras-passe, cartões bancários, etc., com terceiros. Empresas oficiais nunca requerem estes dados por emails;
- Utilizar uma forte solução de segurança com tecnologias comportamentais anti phishing, como o Kaspersky Total Security, para detetar e bloquear ataques de spam e phishing.
