Aqueles que não prestam atenção são frequentemente os primeiros a sucumbir a novos hacks e golpes - e se você usa regularmente o Facebook, o que é mais provável do que o contrário, talvez seja necessário começar a prestar mais atenção.
Isto é especialmente verdadeiro se você preferir o celular para o desktop.
Scammers, tendo notado que o tráfego móvel agora é maior que o tráfego de PC em escala mundial, estão começando a adaptar suas técnicas para aproveitar os usuários móveis. E vendo como os dispositivos móveis tendem a ser menos protegidos do que os PCs, esse é um passo vencedor para eles.
Continue lendo para saber mais sobre como essa nova técnica de scamming funciona, o que procurar e como se manter seguro no futuro.
Como funciona o esquema de login do Facebook
O golpe usa uma técnica chamada preenchimento de URL . Um URL típico é composto de três partes:
- Um domínio (obrigatório)
http://facebook.com/photo.php?fbid=123456 - Um subdomínio (opcional)
http://m.facebook.com/photo.php?fbid=123456 - Um caminho (opcional)
http://m.facebook.com/photo.php?fbid=123456
Como um usuário móvel, você sem dúvida já viu m.facebook.com na barra de endereços do seu navegador enquanto usa o Facebook. Esta é a combinação de subdomínio + domínio que mostra que você está na versão móvel do site do Facebook. Quando você vê, você se sente seguro.
O preenchimento de URL ocorre quando um scammer cria um subdomínio em um domínio totalmente diferente para representar algum site e "preenche" o subdomínio com caracteres inócuos para fazer com que os usuários pensem que estão no site real.
Aqui está um exemplo de URL do PhishLabs:
http://m.facebook.com----------------validate----step1.rickytaylk.com/sign_in.html Visitar o site apresenta uma réplica exata da versão móvel real da página inicial do Facebook, solicitando que você insira suas credenciais para que possa fazer o login. Um usuário experiente, mas desatento, pode dar uma olhada no URL, consulte m.facebook.com, considere a costa clara e faça o login.
Depois de inserir suas credenciais, o jogo acabou. O site apresentará um erro inconspícuo (por exemplo, incompatibilidade de senha), mas o dano já estará feito: eles armazenaram seu nome de usuário e senha e agora podem acessar sua conta real do Facebook ou usar essas credenciais para tentar invadir suas outras contas: Gmail, Amazon, PayPal, bancos, etc.
Leitores atentos notarão que o domínio real desse URL suspeito é rickytaylk.com e tem três subdomínios aninhados sob ele:
com----------------validate----step1facebookm
Você provavelmente veria isso como um URL obviamente enganoso se o encontrasse em um PC, mas aqui está o que um usuário móvel veria:
URLs preenchidos podem ser enviados através de todos os tipos de métodos de comunicação: email, mensagens de texto, aplicativos de mensagens e muito mais.
O triste é que URLs falsas não são novidade. No início deste ano, uma exploração foi descoberta no Chrome (e em outros navegadores baseados no Chromium), em que os URLs podiam ser modificados para aparecer como outros URLs. Felizmente, o bug foi corrigido antes que os golpistas pudessem ir para a cidade com isso, mas mostra que confiar em uma URL não é nada além de tolo.
Como proteger sua conta do Facebook
A única maneira de proteger-se contra um URL preenchido é aprender a identificar mensagens de phishing e, mais importante, visitar sites sensíveis digitando domínios diretamente na barra de URL do seu navegador.
É um pequeno inconveniente, mas vale a pena. Eu faço isso o tempo todo, especialmente ao verificar contas bancárias e usar sites de comércio eletrônico. Com o tempo, será uma segunda natureza e sua taxa de ser enganada irá cair.
E se você já se apaixonou por isso? Ou se alguém, por outro meio, colocar suas mãos em suas credenciais de login no Facebook? Aqui estão algumas coisas extras que você pode fazer para se manter seguro.
Use senhas exclusivas
Um dos piores erros de senha é usar a mesma senha para todas as suas contas.
Você sabe como a maioria dos serviços exige um email para se inscrever? Bem, se você for como a maioria das pessoas, você usa o mesmo endereço de e-mail para todos os serviços. Nesse caso, se alguém descobrir sua senha para uma conta, ela agora terá inadvertidamente acesso a todas as suas contas.
Usando uma senha separada para cada conta e nunca as repetindo, você pode limitar consideravelmente o dano. Não pense que você pode manter todas essas senhas diretamente na sua cabeça? Comece a usar um gerenciador de senhas como o LastPass 5 Melhores alternativas do LastPass para gerenciar suas senhas 5 Melhores alternativas do LastPass para gerenciar suas senhas Muitas pessoas consideram o LastPass o rei dos gerenciadores de senhas; está repleto de recursos e possui mais usuários do que qualquer um de seus concorrentes - mas está longe de ser a única opção! Leia mais e você nunca terá que se preocupar com senhas novamente.
Use as aprovações e códigos de login
Talvez a melhor coisa que você possa fazer para sua segurança no Facebook seja habilitar a verificação em duas etapas Como configurar a autenticação de dois fatores em todas as suas contas sociais Como configurar a autenticação de dois fatores em todas as suas contas sociais Vamos ver quais plataformas de mídia social suporte a autenticação de dois fatores e como você pode ativá-lo. Consulte Mais informação . Com a verificação em duas etapas ativada, você pode adicionar camadas extras de proteção com Aprovações de login e Gerador de código .
Com as Aprovações de Login, o Facebook envia uma mensagem de texto SMS para seu telefone sempre que alguém tenta fazer o login nele. A mensagem de texto contém um código numérico que deve ser inserido para conceder acesso. Mesmo que alguém tenha sua senha, ela não poderá fazer login se não tiver seu telefone também.
O Code Generator é um recurso similar que existe no aplicativo móvel do Facebook. O aplicativo em si gera um código que deve ser inserido para entrar no Facebook a partir de outro dispositivo. É uma boa alternativa quando você não tem uma conexão com a Internet ou mensagens de texto SMS.
Use as chaves de segurança do U2F
Uma chave de segurança U2F Os prós e os contras dos tipos e métodos de autenticação de dois fatores Os prós e os contras dos tipos e métodos de autenticação de dois fatores Os métodos de autenticação de dois fatores não são criados iguais. Alguns são comprovadamente mais seguros e mais seguros. Aqui está uma olhada nos métodos mais comuns e quais melhor atendem às suas necessidades individuais. Leia mais é um dispositivo físico que se assemelha a uma unidade flash USB. Em vez de vincular a verificação em duas etapas ao seu telefone (como acontece com as aprovações de login e o gerador de código), você confirma logins ao conectar a chave U2F ao dispositivo com o qual está efetuando login.
O Facebook não é o único site que suporta U2F - outros incluem Gmail, YouTube, WordPress, GitHub e a lista está crescendo - mas você precisará usar o Chrome ou o Opera para que ele funcione.
O Thetis U2F Security Key é acessível e você pode pegar o Amazon (você só precisa de uma chave por pessoa), mas existem mais caras com mais recursos. Por exemplo, o YubiKey NEO suporta NFC para que você possa tocá-lo (bom para smartphones e tablets).
Yubico YubiKey NEO - Autenticação USB-A, NFC, Dois Fatores Yubico YubiKey NEO - Autenticação USB-A, NFC, Dois Fatores Compre Agora Na Amazon $ 50.00
Nota: Tenha cuidado ao usar as chaves de segurança Aprovações de Login, Gerador de Código e U2F. Se você perder seu autenticador de segunda etapa (ou seja, seu telefone ou chave U2F), veja como recuperar o login da sua conta do Facebook Como recuperar sua conta do Facebook quando não puder mais fazer login Como recuperar sua conta do Facebook quando não puder mais Log In Você esqueceu sua senha e não pode mais entrar? Ou sua conta foi invadida? Veja como você pode recuperar sua conta do Facebook. Consulte Mais informação .
Mais dicas para evitar fraudes na Web
O preenchimento de URL é apenas o mais recente da história de falhas e violações do Facebook. Para maior segurança, saiba o que fazer se sua conta do Facebook for hackeada 4 coisas que fazer imediatamente quando sua conta do Facebook for invadida 4 coisas a fazer imediatamente quando sua conta do Facebook for invadida Ter sua conta do Facebook hackeada é um pesadelo. Um estranho agora tem acesso a todas as suas informações pessoais e pode assediar seus amigos e seguidores. Veja o que você pode fazer para conter o dano. Consulte Mais informação . O malware também é um grande risco, portanto, fique por dentro de prevenir e remover malware e vírus do Facebook Como prevenir e remover malware ou vírus do Facebook Como prevenir e remover malware ou vírus do Facebook O malware do Facebook é uma ameaça, mas você não precisa se preocupe se você seguir este conselho. Veja como evitar o lado ruim do Facebook. Consulte Mais informação .
Você encontrou o preenchimento de URL no Facebook? Como você mantém sua conta do Facebook segura? Compartilhe conosco em um comentário abaixo!
Crédito de imagem: Brian A Jackson via Shutterstock.com