Algumas contas do Twitter estão mais uma vez sob ataque de cibercriminosos. Os ataques de phishing às contas verificadas do Twitter estão sendo direcionados por DM (Mensagem Direta), alertando sobre discurso de ódio, mas isso não passa de um aviso falso!
Ataques a contas verificadas do Twitter
O phishing de contas verificadas do Twitter tem se intensificado bastante. A verdade é que isso dá credibilidade aos golpes, especialmente quando as contas têm muitos seguidores. Essa tem sido uma tática particularmente popular para promover NFTs e outros golpes centrados em criptomoedas.
Mais recentemente, vimos contas verificadas invadidas enviando mensagens alegando que outros usuários verificados foram sinalizados por spam. Nesse caso, as contas comprometidas foram feitas para parecer membros da equipe de suporte do Twitter.
Avisos de discurso de ódio via DM
Desta vez, o ataque é menos visível publicamente, acontecendo via DM em vez de postar em público. A mensagem enviada a um repórter do Bleeping Computer (Via: Malware Bytes) dizia: “Ei, Sua conta foi sinalizada como inautêntica e insegura por nosso sistema automatizado. Disseminar discurso de ódio é contra nossos termos de serviço. Nós do Twitter levamos a segurança de nossa plataforma muito a sério. É por isso que estamos suspendendo sua conta em 48h se você não concluir o processo de autenticação. Para autenticar sua conta, siga o link abaixo”.
O site, escondido atrás de um serviço de encurtamento de URL, afirma que os visitantes estão acessando a “Central de ajuda do Twitter”. Fazendo uso de APIs do Twitter para chamar o nome da conta de teste do repórter, ele pede sua senha. Uma mensagem de “bem-vindo de volta” ao lado de uma imagem da foto de perfil do repórter faz tudo parecer um pouco mais real.
O site de phishing pede um endereço de e-mail e parece estar verificando os bastidores para garantir que você esteja inserindo detalhes válidos. Nada de spam no banco de dados com informações deliberadamente incorretas aqui! O site falso exibe uma mensagem que afirma que a conta provou ser autêntica. Neste ponto, a vítima de phishing provavelmente assume que tudo está bem e continua seu dia. Enquanto isso, o phisher é livre para fazer o que quiser com a conta agora roubada.
Para se manter longe desses golpes, sendo você dono de conta verificada ou não, trate as mensagens de aviso que alegam ser de qualquer pessoa nas mídias sociais com suspeita. Se eles estiverem fornecendo links de login vinculados a ameaças de suspensão, é melhor visitar o site e entrar em contato diretamente com o suporte.