Cibercriminosos usaram um banco de dados desprotegido com informações de mais de 100 mil usuários do Facebook, num esquema massivo de phishing e frade de cartão de crédito. Os hackers enganavam as vítimas prometendo uma ferramenta que lhes mostraria quem visitou seus perfis na rede social.

A operação foi descoberta pela vpnMentor e confirmada pela Eset. Os fraudadores estavam usando um banco de dados da Elasticsearch, que normalmente não é projetado para uso de URL. “No entanto, fomos capazes de acessá-lo por meio do navegador e manipular os critérios de pesquisa de URL para expor esquemas de um único índice a qualquer momento”, explica a vpnMentor.

Já a Eset encontrou 29 domínios falsos que fazem parte de uma rede de sites usada para enganar os usuários. Esses endereços incluíam, por exemplo, mensagens como “Seu perfil recebeu 32 visitas nos últimos dois dias. Continue para ver a lista”. Ao clicar no link malicioso, a vítima era direcionada para uma página de login falsa do Facebook, onde seria solicitada a inserir suas credenciais de acesso à plataforma.

vpnMentor/Reprodução

Página falsa criada pelos cibercriminosos para enganar os usuários. Imagem: vpnMentor/Reprodução 

Os criminosos então usavam os logins roubados para compartilhar comentários de spam em postagens do Facebook.  O plano era usar o perfil das vítimas para se passar por comentários verdadeiros e direcionar mais pessoas para a rede de sites fraudulentos. “Todos esses sites eventualmente levaram a uma plataforma de negociação bitcoin falsa, que cobrava depósitos de 250 euros”, afirma a empresa de segurança.

Mesma técnica, outros alvos

Páginas de login falsas também foram usadas em outra ação, que visava usuários do Instagram, e teria exposto outras 100 mil contas da plataforma. O Facebook entrou com uma ação na Justiça dos EUA nesta quinta-feira (19) contra o hacker responsável pelo golpe.

O turco Ensar Sahinturk teria usado um software de automação para roubar informações, fotos e vídeos de mais de 100 mil perfis públicos do Instagram. “Ele então publicou esses dados em uma rede de sites clones, onde qualquer pessoa poderia inserir um nome de usuário do Instagram para visualizar perfis de usuários do Instagram, fotos, vídeos, histórias, hashtags e localizações”, afirma Jessica Romero, diretora de fiscalização e litígio de plataforma.

O Instagram entrou com uma ação para obter uma liminar permanente contra Sahinturk. “Este caso é o exemplo mais recente de nossas ações para interromper aqueles que roubam dados do usuário como parte de nosso compromisso contínuo de proteger nossa comunidade, fazer cumprir nossas políticas e responsabilizar as pessoas por abusar de nossos serviços”, completa Romero.