Roubo de contas no Instagram: usuários pagam serviços para recuperar perfis

A onda de golpes envolvendo o furto de contas no Instagram e a realização de falsas vendas em nome dos perfis legítimos ganhou um contorno ainda mais complexo, com usuários pagando para recuperar os perfis roubados. Os valores, que normalmente giram em torno de algumas centenas de reais, podem ser cobrados por terceiros que oferecem serviços de recuperação na própria rede social ou até mesmo pelos próprios golpistas, como forma de obter lucro adicional com a prática.

• Aprenda a proteger seu Instagram das ameaças mais comuns
• 5 interações no WhatsApp que podem trazer riscos de segurança

Os casos também foram resultado de dificuldades em reaver a conta por meio do suporte do próprio Instagram. Como a primeira etapa do golpe sempre envolve a troca de e-mails e telefones celulares, bem como a ativação da autenticação em duas etapas pelos atacantes, a rede social precisa utilizar outros métodos para confirmar a identidade do dono original e suas alegações de furto da conta — um processo que, nos casos recebidos pelo Canaltech, não funcionou e levou ao dispêndio dos valores.

“Não sou uma ativa em redes sociais, raramente publico fotos e vídeos. Minha conta era fechada, justamente para evitar exposição, e decidi pagar por medo do que poderia ser feito com o que havia de pessoal”, conta a administradora Lyss Garcia, uma das vítimas que falou com a reportagem. Ela perdeu o perfil após ser contatada por outra conta falsa, que se passava por uma pousada e oferecia a participação no sorteio de uma estadia completa.

Aqui, os criminosos seguiram o tradicional roteiro de ataque de phishing, solicitando o envio do link de verificação do Instagram em prol da validação em um sorteio que, na realidade, nunca existiu. Garcia perdeu a conta no mesmo momento e, horas depois, anúncios falsos de venda de eletrodomésticos começaram a ser feitos em seu nome, enquanto ela tentava recuperar o acesso ao perfil usando suas credenciais e e-mail originais, que já haviam sido modificados pelos atacantes.

Ela ainda foi contatada por uma amiga, que havia caído no golpe até enviado valores aos bandidos. “Ela caiu da mesma forma que eu, estava distraída com o trabalho e ‘mandou bala’. Só foi perceber que [havia algo de errado] depois que pediram mais dinheiro”, contou Garcia. O uso de perfis “reconhecidos”, assim como o uso de pressão pela necessidade de concretizar a venda rapidamente, também são métodos comuns em golpes desse tipo, atingindo principalmente clientes de meios de pagamento e aplicativos de delivery.

A administradora taxou o contato com as plataformas como “impossível” e disse ter encontrado muita dificuldade para obter ajuda em casos de roubo de perfil ou verificação de contas. Entre tentativas de autenticação facial, a vítima sempre esbarrava na necessidade de ter o e-mail ou a senha do perfil roubado, que já haviam sido trocados pelos criminosos. Foi então que ela decidiu usar um outro perfil para entrar com contato com “ela mesma” pelo Instagram, primeiro como interessada nos produtos vendidos e, depois, deixando claro seu interesse em reaver a conta.

“Tremia que nem vara verde”

Garcia chegou a pedir para que outros familiares se passassem como possíveis compradores dos produtos, chegando até mesmo a obter um número de telefone que pertenceria aos golpistas. Porém, foi ao indicar diretamente que gostaria do perfil de volta que ela recebeu a proposta dos criminosos — R$ 500, valor que chegou a ser negociado e foi pago em duas partes, a primeira antes do envio da senha, com o restante depois, ambos em transferências usando Pix.

O valor sentimental envolvido nas postagens, assim como as conversas com contatos por meio do perfil, levou ao aceite da proposta da parte da vítima. Do outro lado, ficou evidente o interesse financeiro dos criminosos, que afirmaram só quererem o dinheiro e já terem usado a conta para os fins pretendidos; a devolução, no final, era mais uma oportunidade de lucrar com a aplicação do golpe.

Chamou a atenção da vítima a ideia de que, apesar de não desfigurarem o perfil, tanto o e-mail quanto a senha foram modificadas rapidamente. A autenticação em duas etapas foi ativada e a conta ainda foi vinculada a um perfil no Facebook, faltando apenas a verificação biométrica. Esta foi tentada, mas não obtida, com uma chamada de vídeo feita enquanto os golpistas ainda se passavam pelos representantes da pousada; a vítima não atendeu à ligação, a considerando invasiva na época e, depois, acreditando ser uma forma de obter imagens de seu rosto.

Após o pagamento, a vítima também teve acesso às diferentes tentativas de golpe feitas em seu nome por meio do perfil roubado. Além da colega citada, os bandidos foram capazes de obter dinheiro de, pelo menos, mais uma pessoa, enquanto tentaram invadir outros perfis usando a mesma tática de envio de links de autenticação. “É um esquema de atirar para tudo o que é lado, vai que alguém acredita”, completa.

Novamente, entra em jogo a tática de usar uma conta aparentemente legítima e reconhecida como forma de disseminar o ataque. Caso sejam bem-sucedidos, os criminosos tentam repetir o golpe sucessivas vezes, alegando uma mudança de cidade ou necessidade de dinheiro rápido, para justificar os valores dos produtos, normalmente bem abaixo dos praticados pelo mercado.

Garcia disse ter temido por sua segurança durante todo o processo, principalmente, diante da possibilidade de os golpistas terem acesso a informações pessoais dela e sua família através do perfil furtado. “Não sei quem está do outro lado e, por isso, fiquei com medo de ‘dar o balão’”, completou.

“Anjo enviado por Deus”

Depoimentos de clientes dão o tom das poucas postagens de um perfil que promete recuperar contas furtadas no Instagram. Por meio de um contato no WhatsApp, o responsável promete devolver perfis roubados, na maioria dos casos, por golpes como os relatados nesta reportagem, dando um “final feliz” e “acabando com a tristeza”.

A.B. foi uma das clientes desse tipo de serviço, preferindo ter sua identidade mantida em sigilo ao falar com a reportagem. Ela também caiu no golpe da falsa venda de produtos por meio dos stories de uma conhecida, chegando a fazer uma transferência de R$ 2 mil ao bandido. O furto do perfil aconteceu quando a suposta vendedora solicitou o envio de um link recebido por SMS, alegando ser o rastreio do produto; na realidade, era o pedido de troca da senha na rede social.

“Depois de invadirem minha conta, os golpistas fizeram a mesma publicidade de eletrodomésticos. Algumas pessoas me chamaram para avisar e outras estavam interessadas, assim como fiquei. Na correria do dia a dia, nem percebi que era um golpe”, explicou ela. Um colega chegou também chegou a transferir valores para os criminosos, acreditando estar falando com a própria dona do perfil.

Novamente, A.B. relata dificuldades em reaver a conta utilizando os procedimentos padronizados do Instagram. Segundo ela, em uma das etapas, a rede social pede a gravação de um vídeo provando a própria identidade, mas relata erros no recebimento dessa solicitação e também uma comunicação trucada da rede social com seus usuários, que no caso dela, também impossibilitaram desfazer o golpe.

Foi aí que ela recebeu, de uma amiga, o contato do tal “anjo”, que cobrou R$ 350 e efetivamente conseguiu devolver a conta furtada. O processo levou cerca de um dia e, antes da recuperação, feita no próprio app do Instagram, também envolveu algumas ligações pelo WhatsApp.

Como recuperar a conta roubada no Instagram

O fim da temporada de compras de final do ano fez com que o fluxo de ataques envolvendo furto de perfis e as falsas vendas fosse reduzido, mas não interrompido completamente. Parte dessa queda, também, pode ter a ver com as publicações sobre o assunto na imprensa, com direito até mesmo a post no Instagram da Polícia Civil de São Paulo, indicando os passos para recuperação. Um tutorial semelhante também foi recebido pelo Canaltech em contato com o Instagram.

Ao falar sobre o caso, a rede social afirmou trabalhar “na implementação de recursos capazes de barrar o acesso de [criminosos] a contas de terceiros, em campanhas educativas de identificação e prevenção a esse tipo de ataque, bem como ferramentas e processos para a recuperação de contas”. Segundo a companhia, esse é um trabalho de aperfeiçoamento contínuo, que também envolveu postagens de conscientização sobre ataques de phishing em parceria com a SaferNet, associação focada na promoção dos direitos humanos na internet.

“Não existe serviço pago de recuperação de conta autorizado pelo Instagram. O processo é feito somente pelo aplicativo e pela central de ajuda”, frisa a rede social, desaconselhando a prática de busca por ajuda externa. Além disso, a companhia indica boas práticas para evitar problemas e reaver perfis furtados.

A principal dica é para que os usuários sempre mantenham informações atualizadas na plataforma, uma vez que solicitações de mudança serão enviadas a eles; em caso de pedido não autorizado de mudança de e-mail, basta clicar em “reverter essa alteração” para impedir o processo. Códigos de verificação também chegam no celular e podem servir para recuperar uma conta mesmo quando a senha já foi alterada.

Por fim, nos casos mais graves, a recomendação é o uso da Central de Ajuda do Instagram, por meio do link “Precisa de mais ajuda” que aparece na tela. Um e-mail diferente do usado anteriormente será solicitado para início do processo de verificação, que envolve biometria e demais questionamentos que garantam que o solicitante é, efetivamente, o dono original da conta furtada.

Dicas de segurança

O comunicado enviado ao Canaltech também inclui diferentes medidas de segurança que ajudam a impedir o furto de contas. Elas valem para diferentes ataques de phishing no Instagram, incluindo as falsas vendas em nomes de perfis, e têm como elemento principal o cuidado com links desconhecidos e a ativação da autenticação em duas etapas.

A medida, essencial para contas importantes de e-mail ou redes sociais, adiciona uma camada extra de segurança aos perfis. Por meio dela, não apenas um código extra é exigido antes de novos logins e modificações, como alertas são emitidos sempre que alguém tentar entrar na conta, permitindo que o usuário recuse de imediato a solicitação nos dispositivos já validados.

Aos usuários, a recomendação é para que desconfiem de publicações na internet que ofereçam vantagens especiais, promoções, aleguem vitória em sorteio ou vendam produtos abaixo do valor de mercado. O ideal é não clicar em links desconhecidos e jamais compartilhar códigos de acesso recebidos pelo telefone, SMS ou WhatsApp.

Por fim, o ideal é usar senhas seguras, que sejam aleatórias e contenham letras, números e símbolos. Elas também devem ser exclusivas de cada serviço, de forma que o vazamento de uma conta não comprometa todas as outras. O Instagram indica, ainda, que todos os contatos pertinentes à segurança da rede social são feitos pelo e-mail security@mail.instagram.com, com contatos de outros endereços devendo ser ignorados.