Capturas de tela e o golpe no Lightshot

Golpistas armaram uma armadilha no Lightshot para investidores de criptomoedas gananciosos.

Os golpes de criptomoeda parecem estar ganhando força a cada dia. Seguindo os passos dos golpistas do Discord, um novo esquema explora a ferramenta de compartilhamento de tela do Lightshot para obter dinheiro de criptoinvestidores excessivamente curiosos.

Conveniente não significa seguro

Lightshot é uma ferramenta para criar, personalizar e enviar capturas de tela rapidamente. Ele consiste em um aplicativo para Windows, macOS, Ubuntu e o portal da nuvem prnt.sc e permite que os usuários compartilhem capturas de tela com rapidez e facilidade: um clique ou atalho envia uma imagem para a nuvem e retorna uma URL para compartilhamento.

Qualquer pessoa pode ver as capturas de tela publicadas sem autenticação; você nem mesmo precisa de uma conta Lightshot. Isso torna o serviço rápido e conveniente, mas não muito seguro.

Além disso, para ver uma captura de tela, você nem precisa do link exato; os URLs são sequenciais, portanto, se você substituir um caractere em um deles pelo próximo na ordem, por exemplo, outra imagem será aberta. O processo pode até ser automatizado. Um script simples para URLs de força bruta e download do conteúdo leva apenas alguns minutos para ser escrito.

Essa abertura não é um bug; o serviço avisa aos usuários que todas as imagens carregadas são públicas. No entanto, dado que vazamentos de informações valiosas por meio do Lightshot costumam ser notícia, é claro que nem todo mundo lê as letras pequenas.

Como vazar dados no Lightshot

E daí se as capturas de tela vazarem no domínio público? Quem se importa em compartilhar registros de jogos ou piadas de mensagens de trabalho? Pense criativamente: os usuários do Lightshot podem se dar mal de pelo menos três maneiras bastante plausíveis.

Considere, por exemplo, um funcionário que tira uma captura de tela de uma interface para obter ajuda na configuração de um novo programa. Soa bem. Agora, e se um documento confidencial estiver aberto, parcialmente oculto na janela do aplicativo? Ou se alguém compartilhar um e-mail de trabalho hilariante e estúpido com um amigo de confiança, apenas para rir? Ou alguém exibe uma conversa íntima, mas se esquece de borrar nomes e endereços?

Tornadas públicas no Lightshot, essas imagens podem significar sérios problemas. Desordeiros online procuram fotos reveladoras para se divertir; trolls podem usá-los para assédio; e os cibercriminosos podem usar a ameaça de exposição para extorquir dinheiro das vítimas.

Uma armadilha para intrometidos

Ao mesmo tempo, mesmo aqueles que mantêm dados valiosos privados e sempre verificam as imagens em busca de extras indesejados podem descobrir que o serviço ainda tem algumas armadilhas. Por exemplo, em um determinado dia, o portal Lightshot pode conter capturas de tela com detalhes para acessar uma carteira de criptomoeda. Às vezes, as capturas de tela parecem sugerir que a conta foi compartilhada deliberadamente. Alguns exibem pedidos de ajuda. Alguns são bizarros e não relacionados – nós até vimos um bilhete de suicídio.

Printscreen de tela de e-mais mostrando credenciais para contas de criptomoeda falsas

Printscreen de tela de e-mais mostrando credenciais para contas de criptomoeda falsas

 

Em outros casos, parece que as “credenciais” chegaram ao Lightshot por acidente ou descuido. Por exemplo, vimos capturas de tela que pareciam ser e-mails de recuperação de senha para carteiras de criptomoedas.

E-mails de redefinição de senha falsa para contas de criptomoeda igualmente falsas

E-mails de redefinição de senha falsa para contas de criptomoeda igualmente falsas

 

Se um usuário acessar a URL na captura de tela em busca de escolhas fáceis, ele se verá em um site que se faz passar por uma bolsa de criptomoedas. Inserir as credenciais os leva a uma conta falsa que parece conter uma quantidade impressionante de criptomoedas, digamos 0,8 BTC (mais de U$ 45 mil no momento desta publicação). E de dentro da conta, a vítima pode tentar sacar os fundos e transferi-los para sua própria.

Nesse caso, a troca pede uma pequena comissão. São meros trocados em comparação com a soma total, mas é falso e não fará nada além de encher os bolsos dos golpistas. E, é claro, “trocado” é relativo: uma comissão de 0,001–0,0015 BTC, por exemplo, nas taxas atuais de bitcoin, chega a aproximadamente U$ 60– U$ 90.

De modo geral, o esquema parece funcionar bem e tem uma certa elegância. No momento da postagem, cerca de 0,1 BTC (cerca de U$ 6 000) foram transferidos para a carteira de “comissões”.

Como economizar seu dinheiro e proteger seus dados

Conveniência não significa segurança ou privacidade – muitas vezes, muito pelo contrário. Lightshot é um excelente exemplo. Aqui estão algumas dicas para trabalhar com segurança com capturas de tela:

● Antes de instalar o Lightshot, considere se você realmente deseja compartilhar as capturas de tela tornando-as públicas;

● Se você decidir ir em frente, lembre-se de que as informações confidenciais – dados bancários, senhas, outras informações pessoais – são o pão com manteiga dos cibercriminosos. Use canais seguros para compartilhá-lo, não Lightshot, ou melhor ainda, não compartilhe nada;

● Se você já usou o Lightshot e agora se arrepende de compartilhar algo, obtenha a URL pesquisando suas mensagens, vá até lá e clique em Denunciar abuso ; ou envie uma solicitação para support@skillbrains.com;

● Use as ferramentas e atalhos integrados do seu sistema operacional para criar capturas de tela. No Windows, use a Ferramenta de Recorte ou o botão Imprimir Tela; Os usuários do Mac podem pressionar Cmd-Shift-3 para salvar uma captura de tela inteira ou Cmd-Shift-4 para selecionar uma área para a captura de tela.

Para ser claro, não recomendamos fazer login nas contas de outras pessoas, mesmo apenas por curiosidade. E para evitar fornecer acidentalmente suas credenciais de login a golpistas, use uma solução de segurança confiável que irá alertá-lo se você entrar em um site suspeito.

Dicas