Hackers prometem recuperar Instagram, mas expõem usuários a novos golpes

Uma oferta de ajuda em um momento de desespero pode se transformar em um golpe para quem já está desesperado ao ter o Instagram “hackeado”. Basta falar sobre o tema nas redes sociais ou fazer uma pesquisa rápida para encontrar diferentes perfis que parecem engajados em auxiliar as vítimas, mas que na verdade podem esconder novas fraudes que visam o furto de dados pessoais, credenciais de acesso ou transferências financeiras.

• Roubo de contas de brasileiros quase dobraram em 2023; cartões também são foco
• Podcast Canaltech: Criminosos aplicam golpes enquanto prometem recuperar Instagram hackeado

Em negociações que costumam acontecer por meio do WhatsApp, os autointitulados hackers afirmam serem capazes de recuperar perfis fraudados de forma rápida, exigindo apenas parte de um pagamento de algumas centenas de reais de forma antecipada. Os pedidos envolvem, também, logins e senhas de e-mails ou perfis no Facebook, além do próprio Instagram, com as vítimas somente percebendo terem caído em um golpe quando as respostas cessam ou, pior ainda, que tiveram outras de suas contas invadidas.

A abordagem inicial também costuma acontecer de forma automatizada, a partir de buscas por palavras-chave em postagens no Twitter ou comentários no Instagram. As contas falsas se passam por pessoas de verdade, que dizem ter utilizado os serviços de um hacker designado após não conseguirem recuperar seus perfis a partir dos sistemas da própria Meta. Enquanto isso, basta realizar uma busca para encontrar diferentes perfis oferecendo esse tipo de serviço.

São elementos característicos de fraudes online, comentados todos os dias no noticiário de tecnologia, mas que podem soar necessários para alguém desesperado. Afinal de contas, na impossibilidade de reaver um perfil pelos meios oficiais, resta apenas a tensão de saber que a conta pode estar sendo usada por bandidos em novos crimes contra amigos e familiares, além da triste ideia de que conversas pessoais e fotos podem acabar sendo perdidas para sempre.

Como funcionam os golpes com recuperação de conta no Instagram?

Os ataques na rede social costumam formar uma cadeia de perfis fraudados, que são usados para contatos com outros usuários cujas contas também podem ser roubadas, aumentando a aparência de legitimidade dos ataques seguintes. “O cibercriminoso dificilmente age sozinho, em fraudes isoladas ou com danos específicos. Novos delitos vão possibilitando mais ameaças que podem atingir outros perfis até onde o bandido conseguir chegar”, explica Daniel Cunha Barbosa, pesquisador em segurança da ESET.

A venda de produtos bem abaixo do preço, como consoles de videogame, eletrodomésticos ou móveis, costuma ser a isca atual mais comum de um cenário perigoso que também já envolveu promoções em restaurantes ou ofertas de diárias mais baratas em hotéis, resorts e outros espaços de lazer. Conforme aponta o especialista, elementos sazonais como a venda de ingressos para shows ou época do ano em que há aquecimento no comércio também costumam ser usadas pelos golpistas.

É como mais um elo desta corrente que aparecem os tais serviços de recuperação de contas no Instagram. Eles podem, inclusive, serem “prestados” pelos mesmos golpistas que furtaram o perfil do usuário, cobrando um valor para recuperação depois que a conta é flagrada como hackeada. Em outros, se tratam de terceiros que podem ou não estarem engajados na prática ou se aproveitam dela para obter mais contas e dados de utilizadores da plataforma.

O Canaltech entrou em contato com alguns deles e obteve respostas semelhantes, em um golpe que parece ter método definido. Os valores cobrados, nos casos analisados pela reportagem, variaram de R$ 200 a R$ 350, com pedidos de 50% adiantado para que o serviço fosse realizado. Além disso, login e senha da conta original também foram solicitados, assim como de perfis no Facebook e e-mail, bem como uma selfie, tudo em prol da “recuperação”.

Conforme explica Barbosa, a partir de informações desse tipo, os criminosos também podem acessar contas bancárias, perfis em demais redes sociais ou até realizar o cadastro das vítimas em serviços financeiros, usando a selfie enviada para verificação. A partir do contato, vírus também podem ser enviados, com a coleta de informações passando a acontecer diretamente no dispositivo dos usuários.

“O único caminho legítimo para se recuperar uma conta é entrando em contato direto com a empresa responsável pela rede ou serviço, seguindo os passos sugeridos por ela”, finaliza o especialista da ESET. “Em qualquer situação que fuja disso, as chances de cair em um novo golpe são grandes. Eventualmente pode dar certo, mas é um tiro no escuro, sem garantia alguma.”

Em contato com o Canaltech, a própria rede social também deixou isso claro, reforçando que “não existem serviços pagos de recuperação de contas autorizados pelo Instagram”. No pronunciamento enviado à reportagem, a empresa indica também que esse processo pode ser realizado pelo aplicativo ou através de sua central de ajuda, por meio de um link dedicado a casos de roubo de perfis.

“Uma vez esgotados os meios oficiais indicados pela Meta para recuperar seu perfil no Instagram, o recomendado é que o usuário prejudicado procure um advogado especializado e ingresse com ação judicial”, complementa Guilherme Braguim, sócio da área de privacidade e proteção de dados do escritório P&B Compliance. Segundo ele, para que o pedido tenha sucesso, é necessário que o indivíduo seja capaz de demonstrar sua clara relação com a conta invadida.

“Isso se dá por meio de nome, documentos, imagens e outras formas. Vale dizer, também, que esse tipo de pedido também pode ser feito por uma empresa que tenha seu perfil corporativo perdido na plataforma”, completa. Neste caso, comprovações de marca registrada e registros que liguem sócios, usuários e nomes ao perfil ajudam em avaliações judiciais.

Braguim aponta, ainda, que tais ações judiciais devem acompanhar pedidos de liminares, de forma a serem avaliados pelo juiz logo no início do processo. “Com a urgência do caso e a velocidade com que as mudanças no mundo digital ocorrem, o magistrado deve determinar que o acesso à conta seja restabelecido em prazos curtos, como de 24 ou 48 horas, sob pena de multas diárias.”

Cuidados para evitar golpes nas redes sociais

O especialista compara as iscas usadas em fraudes no Instagram com aquelas usadas em golpes de phishing por e-mail, mas claro, com as peculiaridades de uma fraude customizada para as redes sociais. “Os criminosos estão ativamente buscando novas vítimas para esse tipo de fraude. Não acreditar em tudo o que se vê de maneira passiva é um excelente primeiro passo para evitar cair em golpes”, completa Barbosa.

Medidas de higiene digital também auxiliam na proteção de contas. As senhas usadas jamais devem ser repetidas entre serviços, de forma que o comprometimento de uma credencial não permita que terceiros acessem as demais. Procure usar, sempre, combinações aleatórias e complexas, com letras, números e símbolos, bem como formatos que não possam ser facilmente descobertos por golpistas.

O uso de autenticação em duas etapas também é essencial para proteger o Instagram, e-mails e outras redes sociais. Assim, caso um golpista consiga o seu usuário e senha, não terá acesso ao código de verificação para acessar a conta; estas combinações jamais devem ser passadas a ninguém, sendo exclusivas do próprio usuário na validação do acesso ao perfil.

O Instagram também indica o uso de recursos como a Solicitação de login, que exige uma autorização extra em um dispositivo conectado no momento em que um navegador ou aplicativo não reconhecido tentar se conectar à conta. A empresa indica, ainda, que o menu de configurações da rede social permite ver os aparelhos conectados ao perfil e desativar o acesso de qualquer um que não seja reconhecido pelo usuário.

Ainda, em contato com a reportagem, a plataforma indicou que jamais se comunica com seus usuários por meio do Direct. Qualquer mensagem direta que seja recebida pelos utilizadores deve ser encarada como golpe e jamais pertencerá ao Instagram, portanto, não clique em links ou forneça informações pessoais por estes meios.