Você está inscrito no canal de um YouTuber famoso? Se sim, uma mensagem supostamente advinda da sua celebridade preferida pode chegar a sua caixa de mensagem a qualquer momento.
Em uma primeira olhada, a mensagem parece ser uma notícia excelente. Sua estrela do YouTube preferida está extremamente grata por você ser um de seus inscritos e por deixar comentários nos vídeos. E por isso, você foi escolhido aleatoriamente para participar de um sorteio ou receberá diretamente um prêmio valioso – um novo iPhone X ou um cartão presente, por exemplo.
O problema é que a mensagem é falsa. Parte de um novo golpe tendo como alvo usuários do YouTube, o qual o serviço de streaming ainda está descobrindo como combater.
Como o golpe no YouTube funciona?
O golpe é relativamente simples. Primeiro, o golpista cria uma conta e muda o avatar e nome de exibição de forma a se tornar idêntico ao de um YouTuber famoso. Explora a possibilidade oferecida pelo YouTube de alterar o nome de exibição do nome do canal, independente da identificação da conta.
Depois disso, o impostor envia solicitações de amizade em massa – esse tipo de convite, no YouTube, pode ser enviado a qualquer um na plataforma. Os golpistas sequer precisam carregar qualquer conteúdo na conta falsa para tornar a solicitação aparentemente legítima; as requisições contém pouca informação além do nome de exibição e avatar. Muitos fãs aceitam o pedido sem pensar duas vezes.
O último passo é compor e enviar uma mensagem direta relativamente convincente.
Diversos youtubers famosos – Marques Brownlee, Philip DeFranco, James Charles, Jeffree Star, Lewis Hilsenteger from Unbox Therapy, Bhad Bhabie, Craig Thompson, Deji (ComedyShortsGamer), Ryland Adams e muitos outros – já tiveram suas identidades roubadas.
Qual é o objetivo do golpe?
Os golpistas querem matar dois coelhos com uma cajadada, por meio de uma mensagem de phishing que objetiva coletar os dados pessoais das vítimas e ganhar algum dinheiro. Ela sempre inclui um link para reaver o prêmio.
O link leva a uma página da web fraudulenta que parece oficial. Uma vez nela, você teria de submeter suas informações de contato e pessoais (para que sejam analisadas pelos bandidos). E não acaba por aí. Agora, você tem que provar “não ser um robô”, e para tal, completar um pesquisa – também falsa, claro.
Se você optar por responder a pesquisa, será redirecionado a um novo site, que o levará a um terceiro e assim sucessivamente. É daí que sai o dinheiro, por meio de direcionamento do tráfego. Eles acumulam acessos em landing pages de empresas que fornecem retorno por esses. O problema é que cada vez que você clica em um link, você arrisca não apenas passar por sites oferecendo mercadorias e serviços duvidosos, mas também ransomware e Trojan bancário, por exemplo.
Como descoberto por pesquisadores de segurança (embora admitissem que os dados não mostrassem o problema inteiro), o golpe parece ter convencido milhares de usuários do YouTube, se não mais – ao ponto de visitarem o site falso.
Como se proteger contra phishing no YouTube?
- Suspeite de solicitações de amizade e mensagens diretas. Primeiro, verifique se quem enviou é de fato quem diz ser. Veja se o canal está marcado como oficial, e no fim, analise o conteúdo com olhar crítico.
- Não forneça informações sensíveis em sites advindos de links recebidos em mensagens do YouTube. Infelizmente, se parece bom demais para ser verdade, provavelmente é.
- Use uma solução de segurança confiável para receber alertas ao tentar acessar um link de phishing ou outras páginas maliciosas.