Golpistas tentam roubar contas de influenciadores do TikTok
Tecmundo
A rede social TikTok é o mais novo alvo de um grupo de cibercriminosos que utiliza uma combinação de técnicas para roubar contas de influenciadores digitais. O esquema lembra bastante a modalidade de sequestro de canais do YouTube, já em andamento há bastante tempo.
Segundo a empresa de segurança Abnormal Security, os golpistas miravam a partir de e-mails pelo menos 125 contas pessoais ou empresariais com alto engajamento e número de seguidores. Em vez de propostas de parceria ou publicações pagas, entretanto, as mensagens eram o início de um esquema que tem como objetivo roubar o acesso a esses perfis.
Um e-mail falso disfarçado de mensagem do TikTok.
O golpe começa quando os bandidos, disfarçados de funcionários do próprio TikTok, enviam e-mails aos responsáveis pela conta. A mensagem normalmente aponta um falso problema no perfil, como denúncias de quebra de direitos autorais que podem levar a conta a ser apagada, ou o oferecimento de um selo de verificado ao usuário.
Em ambos os casos, a vítima que responde a esse contato é direcionada para uma conversa de WhatsApp, que supostamente é um canal de contato com esse representante do TikTok. Essa é a etapa de phishing, que cria uma "isca" que se finge de uma estrutura real da plataforma para ludibriar os usuários.
O chat no WhatsApp pede informações de acesso da sua conta.
Na conversa via mensageiro, entra a etapa de engenharia social: na base da conversa, o criminoso começa a solicitar dados pessoais e de login ao usuário, incluindo informações necessárias para a verificação da conta, como o número de telefone e o e-mail. O código enviado via SMS, que serve como dupla verificação, também é solicitado — como se fosse algo enviado pelo próprio TikTok por motivos de segurança.
De acordo com os especialistas, as contas roubadas são devolvidas apenas mediante o pagamento de uma quantia em dinheiro como "resgate". Na maioria dos casos, entretanto, nem mesmo isso é garantia de que a negociação dará certo, o que resulta no perfil apagado por completo.