O Sarahah é um app criado em Israel que viralizou da noite para o dia no início de agosto. O aplicativo permite que pessoas mandem mensagens de forma anônima umas às outras, mas, como todo sucesso, este também atraiu a atenção de cibercriminosos.
O golpe da vez vem na forma de um site malicioso que promete mostrar ao usuário a identidade de quem enviou mensagens no Sarahah. Os nomes dos falsos serviços variam – Sarahah Exposed, Sarahah View, Reveal Sarahah e Sarahah Spyer, por exemplo -, mas todos têm um só objetivo: roubar dados da vítima.
As páginas têm layout semelhante e, antes de mostrar a origem das mensagens, pedem que o usuário instale aplicativos falsos no celular, mas que têm nomes de apps famosos, como “Clash Royale” e “Super Mario Run”. Além disso, a vítima é instruída a se cadastrar num serviço que envia mensagens (geralmente inúteis) ao celular do usuário por SMS e ainda cobra por isso.
O próprio Sarahah de verdade tem sido usado para atrair vítimas. Mensagens automáticas são espalhadas por perfis de várias pessoas, convidando-as a conhecer este suposto “novo” serviço que mostra a identidade dos mensageiros. No final, a identidade dos remetentes, obviamente, não é mostrada, mas o usuário sai lesado.
Os administradores do Sarahah foram ao Twitter confirmar que esse tipo de serviço não existe. “Gostaríamos de esclarecer que todas as mensagens sobre revelar a identidade dos remetentes são falsas”, disse a empresa na rede social. Ou seja, se você receber um convite de algo parecido, avise seus amigos e não caia em mais este golpe.