Cibercriminosos estão em campanha para hackear perfis com muitos seguidores no Instagram

Grupos de cibercriminosos estão com uma campanha para hackear perfis com muitos seguidores no Instagram. Segundo a Trend Micro, a campanha maliciosa se utiliza do golpe mais comum no Brasil: o phishing.

“Os pesquisadores [da Trend Micro] encontraram casos em que proprietários de perfis do Instagram com 15k a 70k seguidores foram hackeados e nunca recuperados. As vítimas variam de atores e cantores famosos a proprietários de empresas de startups”, diz a empresa.

Além de roubar a conta, os cibercriminosos também realizam extorsão digital. Ou seja: caso a vítima entre em contato com os atacantes, ela é forçada a comprar um resgate ou enviar fotos e vídeos nus para recuperar a conta, mas nunca recuperam o acesso.

É importante que os usuários devam sempre se atentar ao uso de domínios que não sejam da própria rede social

“Entretanto, os atacantes irão buscar tomar controle de contas cada vez maiores, com até milhões de seguidores com intuito de tirar vantagem de sua influência e alcance, afetando também, por meio de diferentes táticas, os milhões de usuários que seguem essas contas”, afirma Aloísio Marinho, Sales Engineer da Trend Micro.

O ataque começa com um esquema clássico de phishing para fisgar a vítima: um email falso fingindo ser do Instagram. O email estimula a possível vítima a confirmar a conta para receber o selo Verificado do perfil do usuário do Instagram. Note que o Instagram tem requisitos específicos e o processo de verificação acontece somente depois que um usuário solicitar, além de não pedir credenciais.

Depois disso, um link é enviado e o domínio pede informações pessoais da vítima. Assim que o invasor tiver acesso ao perfil do Instagram da vítima e ao email relacionado à conta, ele pode modificar as informações necessárias para ter acesso à conta roubada. Uma vez enviadas as informações, uma notificação de selo aparece, mas por apenas quatro segundos. Esse é um truque para dar aos usuários a impressão de que o perfil deles foi verificado.

“As imitações de e-mails sempre tentam parecer legítimas, se aproveitando da engenharia social e, nesse caso, do desejo de receber o selo de verificação no perfil, para enganar os usuários”, afirma Aloísio.

Como dica, é importante que os usuários devam sempre se atentar ao uso de domínios que não sejam da própria rede social, estilos de fontes duvidosos, gramáticas e pontuações incorretas e emails que pedem credenciais, pois as redes sociais nunca as solicitam fora de suas páginas de login reais e seguras.

A Trend Micro enviou os casos para o Facebook e Instagram, mas não obteve resposta até o momento.

Fonte: Tecmundo

Tem Instagram? Cuidado com este e-mail

Uma nova campanha de phishing busca roubar contas no Instagram de usuários para depois pedir resgate, alertou a empresa de cibersegurança Kaspersky Lab. Segundo a companhia, a campanha fraudulenta foi identificada na América Latina e atua disfarçada como uma mensagem do Instagram e faz alusão ao fato de que a conta do usuário foi hackeada para chamar a atenção.

Utilizando a técnica de phishing em e-mails, os cibercriminosos enviam a mensagem em nome do departamento de segurança da rede social e relatam uma suposta modificação do número de telefone associado à conta e convidam a vítima a reverter a alteração acessando um link.

De acordo com a Kaspersky, com esses dados, eles assumem o controle da conta para extorqui-lo, exigindo uma quantia para recuperá-la ou para espalhar conteúdo malicioso, phishing e spam. Ao clicar, a vítima chega a uma página que está otimizada para dispositivos móveis e é solicitado a inserção das credenciais no Instagram. Ao fazê-lo, o usuário estará transferindo suas informações para os cibercriminosos que estão por trás desta campanha.

“Isso é especialmente preocupante porque o Instagram não é apenas uma das redes sociais mais populares do mundo, mas também a fonte de renda para muitos empreendedores, influenciadores, modelos e celebridades”, reforçou a Kaspersky em comunicado.

A estrutura do golpe

Campanhas fraudulentas tendem vitimar os mais desatentos. Isso porque ao analisar os detalhes do e-mail associado à campanha que tem como mote o Instagram, pode-se notar que ele vem de um endereço do Gmail – helpininstagramsecureservice@gmail.com – que não tem nada a ver com a rede social. Além disso, o link incluído no e-mail para “reverter” as alterações leva o usuário a um domínio que também não está associado ao Instagram.

“A popularidade das redes sociais e as más práticas online dos usuários permitem que esse tipo de ataque básico gere bons resultados para os cibercriminosos”, diz Dmitry Bestuzhev, diretor do grupo de pesquisa e análise da Kaspersky Lab para América Latina. “Neste caso, o invasor investiu apenas um dólar para hospedar servidores virtuais que permitem abrir contas a preços baixos e, assim, lançar esse tipo de campanha de maneira eficiente e anônima.”

Como se prevenir

Não clique em links suspeitos. Caso o usuário tenha dúvidas sobre o link incluído em um e-mail, acesse o site oficial da empresa e procure informações relevantes;

Sempre verifique a URL na barra de endereços da página web. Se, em vez disso, o Instagram.com aparecer como o 1stogram.com, deixe-o lá e evite inserir informações pessoais nesse tipo de página;

Faça o download do aplicativo em lojas oficiais, como o Google Play para Android ou App Store para iOS;

Não use seus dados de login para autenticação em serviços e aplicativos de terceiros;

Use uma solução de segurança que proteja seus dispositivos.

Fonte: itmidia

Instagram tem sérias vulnerabilidades

instagramArne Swinnen, da Bélgica, trabalha como caçadores de recompensas — no caso, procurando bugs e vulnerabilidades em softwares, aplicações e sites. Swinnen, por meio de um post em seu próprio blog, alertou a descoberta de duas grandes vulnerabilidades no Instagram, a rede social de fotos do Facebook.

Swinnen comentou que este problema permitiu que ele conseguisse pegar senhas de usuários por meio da força bruta, sem qualquer esforço. O ataque de força bruta consiste na verificação sistemática de todas as possibilidades alfanuméricas utilizadas como senha — o processo de busca só termina quando a senha correta é encontrada.

A vulnerabilidade em questão está na API do Android e na versão web do Instagram. Como você mesmo pode acompanhar a descoberta nesse link, Swinnen alertou ao time do Instagram que, como recompensa, pagou US$ 5 mil (R$ 17 mil) ao belga. O problema também já foi corrigido com um patch.

Swinnen disse que a falha atinge 4% dos usuários, que são 20 milhões de contas

De acordo com o caçador de recompensas, a falha estava exatamente no sistema de senha utilizado pelo Instagram, já que ele não limitava a quantidade de entradas (tentativa e erro) ao tentar realizar o login. Outra vulnerabilidade era alterar o número de telefone vincula à conta. Ou seja, até os usuários com verificação de duas etapas estavam expostos.

Como se proteger

Lembre-se: na hora de criar contas, use senhas criativas — nem que você tenha que armazená-las em outro local. Use desde letras e números até caracteres especiais, como ponto de interrogação, cifrão etc. Se você tiver paciência, ainda troque essa senha a cada três meses.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Você e seus dados estão seguros no Instagram?

instagramCaso você não tenha naufragado igual ao Tom Hanks no filme, provavelmente já ouviu falar do Instagram. A mídia social fotográfica do Facebook possui mais de 400 milhões de usuários ativos por mês. Cerca de 80 milhões de fotos são publicadas por dia e ganham 3,5 bilhões de curtidas.

Nem precisamos dizer que ela é bem popular. Uma publicação de nossos colegas no Threatpost discutiu uma réplica entre pesquisadores. Além disso, um bug reportado ao Programa de Caça à Bugs do Facebook fez com que nosso time do Kaspersky Daily discutisse como usar o Instagram e como ele é outro lugar no qual os usuários estão compartilhando demais.

Nesse ponto da conversa Sege M. mencionou que quando faz o login vê mais fotos do filho de um amigo do que seriam necessárias para montar uns 20 álbuns de família.

Continuando, logo nos perguntamos o quão seguros esses usuários estavam a respeito das configurações de privacidade de um dos maiores aplicativos do mundo. Então, ao invés de buscar pessoa a pessoa, nosso time decidiu oferecer alguns conselhos gratuitos de como se manter seguro em nosso site de compartilhamento de fotos favorito.

Senha
Uma regra que não podemos nunca esquecer é de que as senhas são como roupas de baixo: você deve trocá-las frequentemente e nunca usá-las novamente. Qualquer serviço em particular pode ser uma porta de entrada para outras redes sociais ou acesso a contas de e-mail e já que reutilização de nomes de usuário é algo bem comum em mídias sociais, torne sua senha forte e única.

Privacidade
Você é exibicionista? Gosta que as pessoas vejam o que você faz 24 horas por dia? Se sim, pule essa dica. No entanto, se você for como muita gente por aí que prefere compartilhar imagens e informações, apenas com pessoas que conhece.

Então, caso você queira manter seu Instagram assim, selecione “Conta privada” em “Opções”. Recomendo que qualquer pai que compartilhe fotos dos filhos como uma forma de se manter conectado com os amigos e família pelo mundo que marque essa opção.

Não sou seu pai, logo não irei dar uma palestra sobre o que você compartilha e com quem, mas é meu trabalho dizer que tem um cara bizarro com “Doces” escrito do lado da van que pode ver a foto de sua filha na aula de balé, ou do seu filho no judô ou na creche; ou ainda que você trabalha na Unicorn Park Dr 5000 por 9 horas ao dia compartilhando imagens do escritório ou que viaja duas semanas por mês.

Sei que estamos tentando assustá-lo, mas é inegável que existe gente muito esquisita por aí. Recomendamos que apenas defina como “público”, o perfil de pessoas que precisam estar sob o olhar constante dos seguidores, sem ter escolha no assunto graças a TMZ ou marcas, como a Kaspersky Lab.

Compartilhar é se importar?
Como muitas outras mídias sociais, existem produtos e ferramentas que se anexaram a interface do Instagram. Geeralmente ,isso é visto como uma forma de tornar o compartilhamento bem mais fácil, repostando a foto de outra pessoa ou entrar em um concurso. A pergunta real aqui é:

Você sabe o que você está compartilhando?

Ou ainda mais importante: a companhia X realmente PRECISA dessa informação?

Se não sabe a resposta – e provavelmente não (ninguém lê essas coisas) – você deveria entrar na sua conta do Instagram e verificar quais aplicativos que logou com sua conta.

Uma das coisas que se destaca no Instagram é ele ser bem rígido com as permissões para aplicativos. Porém, ao usar um aplicativo de terceiros, você estende a vulnerabilidade na sua conta. O que ocorreu recentemente no último novembro com o InstaAgent.

Não seja enganado pelos robôs
Tenho uma conta privada no Instagram. Isso significa que, se quiser me seguir, terá que me mandar uma solicitação e terei de aprová-la. Contudo, mesmo com essa configuração recebo VÁRIAS solicitações de mulheres lindas (palavras delas, não minhas), procurando por namorados, amantes maduros e ricos, chamando para bate-papos por vídeo e outras coisas bizarras. Amigos – são fembots. Não são mulheres de verdade. Não as envie mensagens, ou clique em links que mandarem.

SOCORRO! Fui hackeado
Ninguém gosta de descobrir que foi comprometido. O Instagram é popular no que diz respeito a hackear contas – mais de 1,3 milhão de resultados aparecem no Google e há até um tópico no Quora que vai em sites para aprender a hackear as contas das pessoas (não seja babaca – não faça isso).

Dito isso, existem algumas coisas nas quais você deve pensar caso sua conta seja comprometida. A primeira é tentar entrar na sua conta pela Internet ou celular e ver se consegue mudar a senha e opções. Se isso não funcionar ou se tiver sido trancado para fora da sua conta, o melhor a fazer é visitar a Central de Ajuda do Instagram. De lá, pode reiniciar sua senha.

Na Central de Ajuda, você pode reportar contas Spams, de discurso de ódio ou auto-flagelação que você pode encontrar por aí.

Siga essas dicas e você estará um passo mais próximo de uma mídia social segura de predadores covardes.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa matéria.

Fonte: Kaspersky blog

Instagram: problemas de segurança no uso de múltiplas contas

instagramUma grave falha de segurança parece estar afetando os usuários de contas múltiplas no Instagram. Lançada com pompa na última semana, para alegria principalmente de agências de publicidade e gestores de redes sociais, a opção, agora, parece estar dando acesso indevido às notificações pessoais daqueles que possuem acesso a um mesmo perfil na plataforma.

De acordo com os relatos de usuários, notificações sobre curtidas, novos seguidores e até mesmo mensagens pessoais de outros usuários das contas múltiplas estariam sendo recebidas em seus perfis pessoais, em vez de aquelas referentes ao sistema compartilhado em si. Ao clicar em um alerta desse tipo, entretanto, o utilizador é levado para sua própria lista, o que não permite o acesso aos dados de terceiros.

Entretanto, dependendo das configurações de notificações de cada usuário, é possível enxergar amostras do que foi recebido, o que pode ser problemático principalmente quando se fala nas mensagens diretas. Aparentemente, o problema acontece apenas para usuários de Android, e mesmo assim, não para a totalidade dos usuários e nem o tempo todo, surgindo de maneira intermitente, o que também acabou dificultando a localização exata do que está causando o bug.

Na visão de especialistas, a questão parece se relacionar ao sistema de permissões do Instagram, que parece não estar lidando muito bem com a presença de duas contas diferentes em um mesmo aplicativo. Até a introdução da função de perfis múltiplos, os usuários de mais de um deles precisavam deslogar do primeiro para acessar o segundo. A novidade veio para atender, justamente, aos pedidos daqueles que trabalham com isso e possuem, por exemplo, espaços relacionados a empresas ou marcas.

De acordo com o Instagram, uma solução já está sendo desenvolvida e uma atualização para acabar definitivamente com o problema deve ser liberada a qualquer momento. Até lá, entretanto, a rede social instrui os usuários que estiverem preocupados de serem alvo do problema a interromperem o uso de contas compartilhadas por alguns dias, até a liberação do update.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Cuidado com esta armadilha no Instagram

instagramA Symantec descobriu recentemente uma ameaça que usa o Instagram para roubar login e senhas de usuários e ganhar dinheiro com falsas pesquisas. O alvo da vez são as pessoas que costumam postar fotos com hashtags populares. Os criminosos oferecem a possibilidade de ganhar seguidores de maneira fácil, indicando links. Caso clique no endereço, o usuário é redirecionado para um site quase idêntico ao Instagram que pode contaminar o dispositivo.

Durante a investigação, a empresa de pesquisas descobriu mais de 40 contas ativas que oferecem seguidores gratuitos, a maioria com links que levam a sites de phishing e alguns que levam a um site que oferece gratuitamente seguidores e curtidas. Em última análise, os usuários são direcionados a um esquema de pesquisa, que é apoiado por um programa de afiliados.

Para manter a segurança do dispositivo, não clique em links suspeitos. Uma boa dica é também manter as configurações de privacidade atualizadas nas redes sociais, impedindo que usuários mal intencionados visualizem a conta.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Contas do Instagram ficam expostas por falha na privacidade

instagramParece que sua conta no Instagram não é tão privada quanto você pensou que seria ao selecionar a opção de trancar suas fotos. De acordo com uma investigação feita pelo Quartz, se uma foto foi postada enquanto a conta ainda era pública, ela continuará disponível na web caso você deixe sua conta privada posteriormente.

O Instagram reconheceu a situação em um comunicado respondendo ao Quartz no fim da semana passada, e, em seguida, a rede social atualizou seu software para consertar a falha na privacidade.

Segundo o site, neste fim de semana passado algumas imagens postadas em contas privadas – e que anteriormente estavam acessíveis ao público – já não estão mais visíveis.

O Quartz não conseguiu encontrar, no suporte do Instagram, qualquer documento em que a empresa deixe claro como as fotos privadas de um usuário podem estar disponíveis ao público do modo que estavam até este fim de semana.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Info