Uma nova estafa de phishing está a circular no Instagram, alertam especialistas em cibersegurança. Diferente dos tradicionais ataques que redirecionam as vítimas para sites falsos, esta nova forma de fraude utiliza um método mais engenhoso para enganar os utilizadores e roubar as suas contas.
Identificada pelo blog Malwarebytes Labs, a campanha fraudulenta apresenta-se sob a forma de emails que simulam notificações oficiais do Instagram, alertando o utilizador de uma tentativa de login não autorizada na sua conta, pedindo confirmação por um código de verificação. No entanto, em vez de incluir links para sites falsos, os emails contêm ligações do tipo “mailto” que, ao serem clicadas, abrem automaticamente o programa de email do utilizador com uma mensagem pré-escrita a reportar o alegado utilizador suspeito ou a pedir a remoção do endereço de email da conta.
Este método, conhecido como typosquatting, utiliza domínios que parecem legítimos, mas são falsificados para enganar o utilizador e os filtros de segurança do correio eletrónico. Ao usar estes links mailto, os atacantes conseguem contornar os filtros automáticos de deteção e bloqueio de links maliciosos, já que não precisam de criar páginas web falsas para capturar dados.
Quando a vítima responde a estes emails, os criminosos confirmam que o endereço de email está ativo, abrindo caminho para novos ataques, incluindo pedidos de dados adicionais para roubo de informação ou da própria conta do Instagram.
Para evitar cair nesta armadilha, é fundamental que os utilizadores verifiquem sempre a origem do email e desconfiem de domínios que imitam endereços oficiais. Além disso, é importante lembrar que a Meta nunca pede que se envie informações pessoais, passwords ou códigos de verificação por email.
Os especialistas aconselham a “fazer uma pausa” antes de responder a qualquer email suspeito e a não interagir com mensagens que levantem dúvidas, pois responder indica que o endereço está ativo e pode aumentar o risco de ataques futuros.
