No início do mês, o site Privacy Affairs alertou sobre a venda de um pacote com dados de 1,5 bilhão de usuários do Facebook em um fórum online de cibercriminosos, que aconteceu em setembro. A ESET, uma empresa de detecção de ameaças digitais, afirmou nessa quarta-feira (20) que as informações comercializadas foram adquiridas por scraping e o produto desta técnica pode ser usado em ataques de engenharia social, como o envio de e-mails de phishing para roubo de credenciais e download de malwares.
Além disso, a metodologia está se tornando mais comum e acessível, mas significa que não houve necessariamente um comprometimento das contas envolvidas.
Cecília Pastorino, pesquisadora da instituição, adicionou que scraping é uma metodologia que extrai informações de sites em massa baseada em scripts automatizados. Normalmente, ela é usada para indexação de endereços da internet ou análise de dados e se tornou popular em ações de marketing digital, então muitas ferramentas estão disponíveis na web e são fáceis de usar.
Divulgação da venda de informações do Facebook; a publicação não existe mais, mas o usuário não foi banidoFonte: Reprodução/ PrivacyAffairs
Apenas um exemplo entre muitos
No caso recente do Facebook, o vendedor ofereceu a possibilidade de baixar as informações na íntegra ou em pequenas partes. Ele também garantiu que trabalha para uma empresa que se dedica ao scraping, desenvolve a atividade há quatro anos e tem mais de 18 mil clientes.
Após a publicação da oferta, supostos clientes questionaram os dados e informaram que não conseguiram acesso após a aquisição. Dito isso, o Privacy Affairs explicou que o vendedor negou as acusações e adicionou que tinha “evidências” da legitimidade.
A ESET também detectou a prática no Instagram meses atrás. Na ocasião, golpistas usaram uma ferramenta do tipo em seguidores da rede social para tentar roubar dinheiro de clientes de diferentes bancos.
Também envolvendo o Facebook, mais de 500 milhões de usuários tiveram seus dados vendidos em fóruns em abril. Poucos dias depois, um evento similar aconteceu com o Linkedin.
“O uso desses dados pode permitir que os invasores usem o nome da vítima e outras referências, como o número de telefone, para personalizar o engano, torná-lo mais confiável e, portanto, mais eficaz”, concluiu Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
Source link