Um banco de dados configurado incorretamente foi operado por cibercriminosos e expôs os nomes de usuário e senhas de mais de 100.000 usuários do Facebook. A campanha maliciosa estava direcionada aos frequentadores da rede social com o objetivo de obter os dados de acesso das vítimas através de uma ferramenta que, supostamente, prometia revelar quem visitou o perfil do usuário. O golpe global foi avisado pela ESET, empresa de detecção proativa de ameaças.
Embora não se saiba exatamente como as vítimas chegam a esses sites falsos que prometem revelar quem visitou seu perfil, foram encontrados 29 domínios que fazem parte de uma rede de sites usada para esse fim. Esses endereços incluíam, por exemplo, mensagens como “Seu perfil recebeu 32 visitas nos últimos dois dias. Continue para ver a lista”. Se a vítima clicasse em um botão que diz “abrir a lista”, ela seria direcionada para uma página de login falsa do Facebook, onde seria solicitada a inserir suas credenciais de acesso à plataforma.
Depois de inseridas, as credenciais são armazenadas no banco de dados controlado pelos atacantes e, em seguida, começam com a outra fase da campanha maliciosa: os comentários nas contas das vítimas que contêm links para sites que fazem parte de um esquema fraudulento operado por cibercriminosos.
Esses sites direcionaram as vítimas para vários tipos de páginas de má reputação. O mix de endereços foi uma estratégia para contornar os mecanismos de detecção e evitar o bloqueio, mas segundo os pesquisadores, o principal objetivo era direcionar as vítimas para sites onde os usuários fossem convidados a se cadastrar gratuitamente na negociação de Bitcoins com depósito de 250 euros para começar. Se o depósito fosse feito, o dinheiro acabaria nas mãos dos cibercriminosos.
“É recomendável que os usuários não utilizem a mesma senha em mais de um serviço. Para evitar dores de cabeça tendo que lembrar cada uma das senhas usadas em cada conta, recomendamos o uso de um gerenciador de senhas, além da importância de usar mecanismos de autenticação em duas etapas em todas as contas e serviços online”, comenta Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
Entre os dados armazenados nesta instância do Elasticsearch, os pesquisadores encontraram:
- Nomes de usuário e senhas de 150.000 a 200.000 contas do Facebook, além de endereços IP.
- Informações de identificação pessoal (PII) das vítimas, como endereços de e-mail, nomes ou números de telefone.
- Textos usados por golpistas para postar comentários em contas comprometidas com o intuito de direcionar as vítimas a sites maliciosos.
“Recomendamos alterar sua senha se você acredita que foi vítima deste golpe ou de um esquema semelhante, no qual inseriu suas credenciais de acesso em um site suspeito. Por outro lado, também é recomendável alterar a senha em todos os serviços onde a mesma senha foi utilizada e não inserir informações pessoais em sites de reputação duvidosa”, completa Gutiérrez.
