This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Contas do Facebook clonados bater-se amigos com pedidos de spam e dinheiro

Filed Under: Facebook, Featured, Malware, Phishing, Privacy, Security threats, Social networks

Imagem da notícia mesa cortesia do Shutterstock Tudo começou no outono, quando o produtor executivo de esportes para a emissora de TV WBAL - na cidade de Baltimore, Maryland EUA - tem um pedido de amizade no Facebook.

A solicitação parecia que veio de alguém que Chris Dachille sabia, então ao invés de investigar quem é o remetente realmente era, ele foi em frente e aceitou.

A próxima coisa que você sabe, o novo amigo de Dachille teve imagens raspadas e outras informações da conta pessoal do Facebook do Dachille e é usado para criar um perfil com o nome de Dachille.

Usando a conta clonada e lista de amigo de Dachille, o atacante, em seguida, virou-se e enviou pedidos de amizade de amigos de Dachille, muitos dos quais aceitaram a proposta.

Como informa o Ars Technica Sean Gallagher, o ataque rapidamente se espalhou pela sala de redação para os colegas de Dachille, com o seu próprio sósia Facebook contas aparecendo eo atacante ou atacantes spam fora links maliciosos e usando suas identidades assumidas para pedir dinheiro.

Foi só quando os amigos de Dachille começou a bombardeá-lo com avisos que ele percebeu o que estava acontecendo.

Em uma entrevista na WBAL , Dachille disse que a idéia de alguém fingindo ser ele e entrar em contato com seus amigos por dinheiro era "muito preocupante":

Meu primeiro pensamento foi, eles têm a minha informação bancária? Será que eles têm informações pessoais, o meu [número de identificação fiscal], coisas assim?

Dar um acesso estranho para uma conta no Facebook pode não ser o mesmo que entregar nossos números de Segurança Social, mas dá potenciais atacantes isca valiosa para phishing expedições .

Posando como colegas ou amigos, os atacantes podem enviar links maliciosos para a nossa lista de amigos, como foi feito em WBAL. Essas ligações poderia vincular a malware que infecta computadores das vítimas com todos os tipos de maldade, incluindo keyloggers.

Em suma, quando damos estranhos acesso a nossas contas do Facebook, isso pode não significar um atacante tenha chegado as suas mãos sobre a nossa informação bancária, mas certamente significa que eles ficaram muito mais próximos a ele e está armado com a informação que é útil em a realização de expedições de phishing.

Os profissionais de mídia usado o botão "denunciar abuso" para alertar o Facebook, mas levou semanas para a empresa responder e derrubar as contas clonadas.

Na verdade, ele tomou o envolvimento do Maryland Procurador-Geral, a quem a estação acabou contatando.

Como Gallagher do Ars Technica aponta, em defesa do Facebook, é difícil para o serviço para dizer a diferença entre uma conta falsa e um real:

Muitas contas legítimas compartilhar um nome com outro usuário, eo nível de detalhe em seus relatos feitos esses clones parecem genuínas. [Um dos repórteres] me disse que a conta duplicada sequer preencheu um aniversário que estava próximo da data de sua própria - a informação que ela não tinha previsto no seu perfil original.

Os funcionários redação vítimas foram todos usando suas contas pessoais, tanto para trabalho e fins pessoais, disse Gallagher. Os atacantes não só raspou fotos de contas dos usuários, eles também usaram endereços de e-mail sósia, e, em alguns casos, utilizados outros dados pessoais obtiveram, obtendo o alvo para um amigo deles.

Então eles enviaram pedidos de amizade a todos os amigos do alvo e repetiu o processo, lançando notícias de spam conteúdo do feed de cada uma das contas clonadas.

O que pode um Joe normal de fazer para reivindicar suas identidades digitais em, ou dentro, as redes sociais? Gallagher observa que o Facebook oferece um serviço de identidade verificada para páginas que são criadas para permitir às empresas e figuras públicas para separar seus personagens pessoais e empresariais.

Twitter, por sua vez, oferece um "verificado" blue badge marca determinar a sua autenticidade, mas não é aberto a todos: na maior parte, o serviço se concentra em alguns usuários, como celebridades, músicos ou marcas.

Quando alguém recebe um pedido de amizade, os sistemas do Facebook são projetados para verificar se o destinatário já tem um amigo com o mesmo nome, junto com outros fatores.

Quando as pessoas relatam imitadores usando o Facebook built-in relatar os fluxos, as suas equipas de analisar cada um e tomar as medidas adequadas - incluindo a definição de pontos de controle (o que exige informações adicionais para prosseguir) ou desligar perfis, se necessário.

Gallagher mencionado não ser capaz de chegar ao conteúdo phishy no tempo para verificar se ele levou a malware. Isso é realmente um bom sinal: significa que o Facebook do esmagamento essas coisas rapidamente quando surgem tais questões.

Isso não é grande consolo para WBAL, que foi atormentado com o ataque durante semanas antes de os clones foram levados para baixo, mas, novamente, a verificação é um negócio complicado.

Gallagher propõe que a melhor defesa poderia muito bem ser para se conectar com outras pessoas pessoalmente para perguntar, é realmente você? Ou, alternativamente, a dizer, Sim, esta é realmente de mim.

Como você provar que você é você, então? Você entregar dados pessoais? Isso parece derrotar o propósito.

E como você assumir que quando você está vetar um pedido de amizade, o entrevistado não é um atacante que está alimentando informações pessoais ele raspado do céu sabe onde?

Seus pensamentos são bem-vindos na seção de comentários abaixo.

Enquanto isso, o Facebook disse-me que ele está ciente desses relatórios e desenvolveu várias técnicas para ajudar a detectar e bloquear esta forma particular de abuso.

Facebook incentiva as pessoas a:

  • Veterinário todos os pedidos de amizade;
  • Cuidado com e-mails suspeitos, com erros de ortografia, erros de digitação, fontes múltiplas ou acentos estranhamente colocados, e
  • Assinalar mensagens suspeitas de phishing usando os links apropriados colocadas em todo o serviço.

Facebook tem mais ajuda sobre phishing em sua Central de Ajuda.

E se você gostaria de manter-se atualizado sobre as últimas fraudes Facebook e outras notícias relacionadas com a segurança, considere gostando nossa página Nu Segurança Facebook .

Imagem da notícia mesa cortesia do Shutterstock .

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.