Barracuda full logo

Phishing em redes sociais: Táticas de ataque e estratégias de mitigação

Tópicos:
26 fev. 2025
|
Nihad Hassan

As fraudes existiam muito antes da internet. Os criminosos usavam chamadas telefónicas e técnicas presenciais para roubar informações de cartões de crédito ou outras informações sensíveis para ganho financeiro. No entanto, após a transformação digital generalizada e a crescente dependência da tecnologia da internet para realizar negócios, especialmente banca online e comércio eletrónico, os burlões mudaram o seu foco para aproveitar o meio digital como o seu principal vetor de ataque.

Os ataques baseados em email são normalmente lembrados quando se discute phishing. No entanto, a proliferação de plataformas de redes sociais nos últimos anos — com estatísticas a mostrar que 63,9% da população global interage com plataformas de redes sociais — motivou os cibercriminosos a executar ataques de phishing através de websites de redes sociais. Esta evolução criou um novo subtipo de ataques de phishing: phishing em redes sociais.

O que é phishing em redes sociais?

A phishing em redes sociais é uma forma especializada de ataque de phishing que explora plataformas de redes sociais como Facebook, Instagram, X, LinkedIn e websites semelhantes. Estes ataques ocorrem normalmente através de funcionalidades de mensagens como o Facebook Messenger ou Instagram Direct Messages ou através de links de phishing partilhados em publicações e comentários públicos. Os atacantes visam roubar informações sensíveis dos utilizadores, como informações bancárias ou de cartões de crédito, ou obter acesso às suas contas de redes sociais (por exemplo, através de páginas de phishing que se assemelham à página de login genuína da rede social).

O phishing em redes sociais tornou-se uma preocupação crescente a nível mundial devido à enorme base de utilizadores nas plataformas sociais. Este artigo irá discutir as diferentes técnicas de phishing em redes sociais utilizadas por hackers e sugerir medidas para parar este tipo de ataque. No entanto, antes de começarmos, vamos discutir brevemente as fases dos ataques de phishing em redes sociais.

Um ataque de phishing em redes sociais típico ocorre em três fases:

  1. Reconhecimento – Recolha de informações sobre o alvo através de técnicas de inteligência de código aberto (OSINT), engenharia social, ou usando ferramentas de análise automatizada. Esta fase envolve mapear as conexões, interesses e padrões de comportamento do alvo para criar ataques personalizados
  2. Criar a isca – Desenvolver aliciamentos convincentes, como mensagens urgentes, ofertas promocionais ou interações de perfil que convencem os utilizadores a clicar em links de phishing ou a descarregar software malicioso para infectar o seu dispositivo informático
  3. Execução – Manipular utilizadores para realizar ações específicas, como inserir as suas credenciais de conta em páginas de login fraudulentas, instalar malware disfarçado de aplicações legítimas, ou conceder permissões de conta a aplicações maliciosas.

Técnicas de ataque de phishing em redes sociais

Existem diferentes técnicas para executar phishing em redes sociais. Aqui estão as mais proeminentes:

Pedidos de amizade falsos

Pedidos de amizade falsos são uma tática comum usada por cibercriminosos para obter acesso a informações pessoais de utilizadores alvo, espalhar malware ou cometer fraudes. Estes pedidos frequentemente têm origem em perfis legítimos, mas são fabricados ou criados usando tecnologia de deepfake AI para ganhar rapidamente a confiança do utilizador alvo. Um perfil fabricado típico pode apresentar qualquer um dos seguintes temas:

  • Fingir ser figuras de autoridade, como agentes da lei a solicitar cooperação para resolver um caso urgente ou executivos da sua empresa a pedir ajuda durante as suas férias para um assunto de negócios urgente.
  • Fazer-se passar por celebridades conhecidas, como modelos, bloggers de viagens ou profissionais em indústrias glamorosas, como fotógrafos de renome
  • Falsificar perfis de outras pessoas. Por exemplo, um hacker pode roubar fotos pessoais de alguém juntamente com as suas imagens publicadas em várias redes sociais para criar um perfil detalhado usando o seu nome e tentar comunicar com o alvo usando esta persona altamente fabricada.
  • Aproveitar eventos atuais, como durante crises políticas ou desastres naturais, fazendo-se passar por jornalistas, trabalhadores humanitários ou coordenadores de resposta a crises que procuram assistência ou informações urgentes.
  • Criar interesses românticos fictícios que partilhem interesses, experiências e detalhes de fundo semelhantes com o alvo

É importante notar que os hackers frequentemente adaptam os seus perfis fabricados nas redes sociais para alinhar com os valores ou crenças da comunidade alvo. Por exemplo, ao impersonar alguém no LinkedIn, podem apresentar-se como consultores financeiros ao tentarem atingir alguém da indústria bancária. Estes perfis exibem frequentemente provas sociais sofisticadas, incluindo endossos fabricados, recomendações e históricos de atividade concebidos especificamente para estabelecer credibilidade.

Mensagens diretas

Os ataques de phishing em redes sociais geralmente exploram mensagens diretas (DMs) das plataformas de redes sociais para enganar os utilizadores a revelar informações sensíveis ou a descarregar programas maliciosos. Uma DM maliciosa pode usar qualquer um dos seguintes temas:

  • Solicitações urgentes de autenticação: O remetente frequentemente se faz passar por um dos amigos do alvo ou outro contacto de confiança. Por exemplo, um utilizador pode receber uma mensagem alegando ser de um amigo que precisa de ajuda para aceder à sua conta bloqueada e solicitar um código de verificação enviado para o número de telefone do alvo. O atacante pode ter clonado a conta ou comprometido-a e usado a urgência para pressionar o alvo a fornecer o seu código de verificação de autenticação de dois fatores (2FA).
  • Alertas de segurança da plataforma: Mensagens que fingem originar-se da equipa de suporte da plataforma de redes sociais, notificando o utilizador sobre problemas de segurança da conta que requerem ação imediata. Exemplos incluem: "A sua conta foi sinalizada por atividade suspeita. Clique aqui para protegê-la agora" ou "A sua conta será permanentemente eliminada em 24 horas, a menos que verifique a sua identidade aqui." Os links incorporados nestas mensagens direcionam os utilizadores para páginas de login de phishing, concebidas para roubar as credenciais das suas contas ou levá-los a instalar um malware que rouba informações.
  • Notificações de prémios: Mensagens que prometem recompensas, ofertas exclusivas por tempo limitado ou prémios para convencer os utilizadores a clicar em links maliciosos. Exemplos incluem: "Ganhou um cartão de oferta de $300! Clique aqui para reclamar o seu prémio" ou "Acesso VIP exclusivo concedido — reclame a sua adesão premium agora." Estas ofertas normalmente levam o utilizador a páginas de recolha de credenciais ou sites de distribuição de malware.

Publicações ou comentários de phishing

Publicações ou comentários de phishing são outro tipo de phishing em redes sociais. Estes parecem legítimos à primeira vista e utilizam várias táticas para convencer os utilizadores a clicar em links incorporados, tais como:

  • Armadilhas de conteúdo envolvente: Cibercriminosos criam conteúdos apelativos destinados a atrair a interação dos utilizadores. Por exemplo, uma publicação pode afirmar: "Veja este vídeo engraçado de um gato a tentar dançar!" com um URL encurtado que mascara o seu destino real. Ao clicar, os utilizadores são levados a uma página de login fraudulenta (imitando plataformas como o YouTube) pedindo aos utilizadores que insiram as suas credenciais de conta ou incitando à instalação de malware disfarçado de leitor de vídeo. Ambos os métodos visam roubar as credenciais de conta do utilizador ou instalar malware de recolha de dados.
  • Manchetes sensacionalistas: Publicações com conteúdo dramático ou exclusivo concebido para explorar a curiosidade do utilizador. Exemplos incluem escândalos de celebridades alegados ("Celebridade X apanhada em escândalo chocante — imagens exclusivas!") ou alegações de notícias de última hora ("Não vais acreditar no que aconteceu hoje na cidade de Nova Iorque!"). Estas manchetes contornam a consciência de segurança normal dos utilizadores ao desencadear respostas emocionais imediatas.
  • Contas empresariais comprometidas: Os atacantes sequestram contas legítimas de redes sociais empresariais para explorar as relações de confiança estabelecidas com seguidores. Por exemplo, a página de Facebook de um retalhista de artigos desportivos comprometida pode anunciar a oferta de sapatos grátis, exigindo apenas o pagamento de envio. O processo de checkout direciona os utilizadores para páginas de pagamento fraudulentas concebidas para roubar as suas informações de cartão de crédito. Estes ataques são particularmente eficazes porque aproveitam a reputação e os seguidores existentes da empresa.

Ofertas de emprego falsas

Os burlões usam ofertas de emprego falsas para explorar os candidatos a emprego, com o objetivo de roubar dinheiro e informações pessoais das vítimas ou instalar malware nos seus dispositivos informáticos para executar outras ações maliciosas. Aqui estão as táticas de ofertas de emprego falsas mais comuns:

  • Mensagens de recrutamento fraudulentas: Os burlões enviam mensagens utilizando email ou as funcionalidades de mensagens diretas das redes sociais, particularmente o LinkedIn, para atingir potenciais vítimas. Afirmam representar empresas legítimas enquanto oferecem oportunidades de emprego irrealistas. Por exemplo, um utilizador pode receber uma mensagem dizendo: "Olá! Encontrámos o seu perfil e ficámos impressionados com a sua experiência. Queremos oferecer-lhe uma posição remota com um salário mensal de $5,000. Não é necessária experiência!" Ao contrário destes esquemas, os recrutadores legítimos fornecem descrições detalhadas de empregos, informações sobre a empresa, endereços de email corporativo verificáveis e números de contacto oficiais da empresa.
  • Ofertas de salários elevados: Os burlões exploram as aspirações financeiras dos candidatos a emprego ao anunciar pacotes de compensação irrealistas. Exemplos incluem "Ganha $5,000 por semana a trabalhar a partir do conforto da tua casa, apenas 1 hora por dia!" ou "Começa a ganhar $10,000 mensais sem experiência necessária!" Estas ofertas criam urgência e entusiasmo, levando as vítimas a ignorar sinais de alerta.
  • Colheita de informações pessoais: Os burlões solicitam dados sensíveis através de formulários de phishing sofisticados ou comunicação direta. Podem exigir "Documentação necessária para a configuração da folha de pagamento," incluindo números de Segurança Social, cartas de condução, cópias de passaportes ou detalhes bancários. Alguns esquemas envolvem taxas iniciais disfarçadas de custos de registo, verificações de antecedentes ou materiais de formação, que normalmente variam de $50 a $200.
  • Fraudes de verificação: Uma nova tática envolve pedir aos alvos para verificarem a sua identidade através de aplicações ou websites específicos. Estas plataformas muitas vezes contêm malware ou são concebidas para roubar credenciais de autenticação de outras contas, como Google ou Facebook. Os burlões podem dizer: "Descarregue a nossa aplicação de verificação segura para completar a sua candidatura" ou "Clique neste link para verificar a sua elegibilidade de emprego."

Estratégias de defesa

Para se proteger contra ataques de phishing em redes sociais, os utilizadores devem implementar as seguintes medidas de proteção:

  • Reforçar a segurança da conta: Use 2FA em todas as contas de redes sociais e utilize senhas únicas e complexas para cada conta. Pode usar um gestor de senhas para gerar credenciais de conta online. Lembre-se de não partilhar códigos de verificação com ninguém, independentemente da identidade que aleguem ter.
  • Verificação de ligação: Antes de aceitar pedidos de amizade nas plataformas de redes sociais, verifique a legitimidade da conta verificando as ligações mútuas, número de amigos, data de criação do perfil (contas recém-criadas são um grande sinal de alerta) e padrões de atividade recente (contas com baixa atividade são suspeitas).
  • Segurança de links: Nunca clique em URLs encurtados em publicações ou mensagens nas redes sociais. Passe o rato sobre os links para visualizar o seu destino real. Pode usar um serviço de terceiros para revelar os destinos reais dos URLs, como: CheckShortURL.
  • Autenticação de mensagens: Verifique mensagens inesperadas de amigos através de canais de comunicação alternativos, como email ou telefone, especialmente se solicitarem ações urgentes ou informações sensíveis.
  • Comunicação empresarial: Para comunicações relacionadas com o trabalho, comunique apenas através de endereços de email oficiais da empresa e plataformas empresariais verificadas. Nunca pague taxas adiantadas para oportunidades de emprego ou partilhe informações pessoais sensíveis através de mensagens em redes sociais.

À medida que as plataformas de redes sociais continuam a dominar a comunicação online, os cibercriminosos estão a explorar cada vez mais estes canais para ataques de phishing sofisticados. Compreender estes padrões de ataque e manter uma consciência constante é crucial para proteger contra ameaças de phishing nas redes sociais.

Subscreva o Blogue Barracuda
Nihad Hassan

Nihad Hassan é um autor técnico experiente que publicou seis livros na área da cibersegurança. As suas áreas de especialização incluem uma ampla gama de tópicos relacionados com a cibersegurança, incluindo OSINT, inteligência sobre ameaças, forense digital, ocultação de dados, privacidade digital, segurança de rede, engenharia social, ransomware, testes de penetração, segurança da informação, conformidade e proteção de dados.

Artigos Relacionados:
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 August’s top threat actors: Ransomware, espionage and infostealers
August’s top threat actors: Ransomware, espionage and infostealers
 Resumo de Malware: Phishing astuto, BYOVD e RATs Android
Resumo de Malware: Phishing astuto, BYOVD e RATs Android
 Inquérito vê declínio global nos custos de violação de dados
Inquérito vê declínio global nos custos de violação de dados
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.