Golpe que circula no WhatsApp promete um ano de Spotify Premium grátis

Uma nova campanha de phishing está a circular no WhatsApp e tenta atrair utilizadores do Spotify com a promessa de um ano de assinatura Premium grátis.

Os primeiros meses de 2019 foram ricos em ameaças digitais dos mais diversos tipos, e continuam. Uma campanha que se faz passar pelo Spotify oferece a utilização dos seus serviços Premium de forma gratuita por um ano. O Spotify é o serviço de streaming de música, podcast e vídeo mais usado no mundo, e o seu app já possui mais de 100 milhões de downloads efetuados na Play Store. Hackers tentam aproveitar essa popularidade do serviço para atingir uma quantidade ainda maior de vítimas.

Propagação da ameaça

A ameaça difunde-se através de um link no próprio WhatsApp, como pode ver abaixo.

Ao clicar no link, as vítimas são remetidas para uma página com instruções para chegarem à oferta da assinatura Premium.

Nesse momento, a vítima é induzida a responder a uma pesquisa, e independentemente da resposta dada, um ecrã falso de carregamento é exibido.

Logo em seguida, uma mensagem de parabéns é exibida a informar a vítima que já ganhou a assinatura Premium do Spotify, necessitando apenas de a ativar. A ativação acontece quando a campanha é propagada para os contatos do WhatsApp e, de seguida, clicando no botão “Ativar conta”.

A página também contém uma série de depoimentos falsos de pessoas que conseguiram a assinatura Premium, servindo de incentivo para as vítimas seguirem todos os passos para obter a prometida recompensa. Todos os depoimentos estão inseridos no código fonte da própria página e são configurados para se parecerem com depoimentos do Facebook.

A estratégia usada pelos criminosos nesta campanha é antiga, e a forma como foram utilizadas mostra que foi elaborada com poucos cuidados.

#Partilha– Isto faz com que os utilizadores, com o objetivo de conseguir a falsa recompensa, propaguem as campanhas maliciosas junto dos seus contatos, aumentando ainda mais a abrangência do golpe.

Apesar de haver a “exigência” de partilha com 30 contactos, o site não faz validação alguma se o mesmo foi partilhado ou não, pois o botão Xpermanece disponível desde o momento em que a página é aberta.

#Depoimentos – Os depoimentos deste tipo de ameaças costumam ter apenas um intuito, o de aumentar a credibilidade da farsa e estimular os utilizadores a fazer com que ela se propague ainda mais.

Contudo, verificamos que esta campanha não foi bem elaborada, e que não necessita tão pouco que sejam cumpridos todos os passos que, supostamente, levam a completar todo o processo. E é aqui que surge a questão: como é que hackers conseguem obter lucros financeiros com esta campanha?

#Propagandas – Existem propagandas vinculadas à página maliciosa que fazem com que cada acesso credite um determinado valor na conta dos criminosos. Se cada vítima partilhar com 30 pessoas, como é solicitado nas instruções, em pouco tempo a campanha terá arrecadado uma quantia interessante, e quase sem esforço algum.

Durante a análise identificamos que, para esta campanha em específico, a estratégia para conseguir dinheiro foi exclusivamente a das propagandas, nenhum arquivo malicioso ou segunda ameaça foi identificada enquanto seguimos todo o processo através do smartphone.

Para aumentar a abrangência da análise, direcionamos o link para um desktop e descobrimos que, caso a vítima aceda através do computador o resultado será diferente, pois será direcionada para uma outra campanha maliciosa que promete trocar a cor do WhatsApp.

Ao clicar o botão “Continuar” a vítima é levada à página de download de extensões do Chrome para que descarregue a app maliciosa.

Como se pode proteger?

A popularidade das app para troca de mensagens, como é o caso do WhatsApp, e de outras apps que oferecem os mais diversos tipos de serviço, como é o o caso do Spotify, fazem-nos acreditar que este tipo de campanhas nunca vai parar. Já referimos informações sobre os mais diversos tipos de ataque, seja de ofertas de emprego a oferta de perfumes gratuitos, e sabemos que os temas dessas campanhas maliciosas tendem a ser cada vez mais diversificados.

Com tudo isto, é cada vez mais importante ter em consideração uma cultura de segurança da informação cada vez mais disseminada entre todos. Para que, independente do tipo de ameaça, todos estejam minimamente preparados para não cair em golpes criminosos.

Aqui ficam algumas dicas de segurança que podem auxiliar na prevenção deste tipo de ameaça:

  • Desconfie de promoções que não sejam veiculadas pelos meios oficiais da empresa às quais se referem, sendo que as empresas normalmente divulgam as ofertas nos seus sites oficiais ou por e-mail, utilizando sempre um e-mail válido da própria empresa para este fim.
  • Evite clicar em links suspeitos, mesmo que venham de alguém que você conheça. Como vimos no exemplo deste artigo, a propagação da campanha é feita entre os contatos das próprias vítimas.
  • Utilize sempre que possível um software de proteção em todos os dispositivos ligados à internet, sejam eles smartphones, tablets, notebooks, ou outros.
  • Mantenha o software de segurança sempre ativo e atualizado, com as últimas atualizações de segurança instaladas.
  • Não propague informações, links ou arquivos sem ter certeza da sua procedência e integridade.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

10 − four =