Golpes de e-mail do Twitter Blue Badge – Não caia neles!

Faz apenas uma semana desde que Elon Musk privatizou o Twitter em 28 de outubro de 2022…

…mas se você levar em conta o número de notícias sobre isso (e, talvez ironicamente sob as circunstâncias, o volume de threadspace do Twitter dedicado a ele), provavelmente parece muito mais longo.

Tem havido muito para fazer a pele voar, começando com a curiosa escolha de metáfora de Musk ao chegar à sede do Twitter no dia da aquisição com um Pia da cozinha, como se os produtos e serviços da empresa já estivessem tão perto de serem concluídos que não precisassem de nada mais do que o referido recipiente de lavar louça para finalizar as coisas.

Depois, houve a peremptória, se não inesperada, demissão da alta administração; uma par de brincalhões carregando caixas de papelão que enganavam os jornalistas para que informassem que tinham acabado de ser demitidos e escoltados para fora do local; pessoal que foi demitido aparentemente descobrindo quando seus códigos de acesso pararam de funcionar abruptamente; e a aparente pressa do Twitter em transformar seu conhecido Blue Badge em um serviço de assinatura, não apenas um sistema de verificação.

No momento da redação [2022-11-04T17:00Z], no entanto, a própria documentação do Twitter ainda enfatizava que os chamados Contas verificadas são assim rotulados para denotar que “um relato de interesse público é autêntico, […] notável e ativo”.

Na verdade, depois de ser Verificado, pelo menos de acordo com as regras de hoje, você não pode voluntariamente retirar seu selo azul, embora possa tê-lo puxado pelo Twitter “a qualquer momento sem aviso prévio”.

Para onde vai o FUD...

Como você pode imaginar, ou como você provavelmente já viu, a intenção atual do Twitter de transformar o crachá azul em um serviço pay-to-play despertou muito medo, incerteza e dúvida, e para onde o FUD vai…

…os cibercriminosos adoram seguir, seja ligando para você do nada (sem trocadilhos) e dizendo que “Microsoft” detectou “vírus perigosos” em seu computador, ou enviando mensagens de texto para pedir que você reagende sua última “entrega” em casa , ou enviando um e-mail para avisá-lo sobre uma “violação” de direitos autorais do Instagram em sua conta.

De fato, o golpe verificado no Twitter começou rapidamente, com Zack Whittaker no TechCrunch publicando capturas de tela de ataques de phishing com tema de crachá azul no último fim de semana:

O caos de verificação em andamento do Twitter agora é um problema de segurança cibernética. Parece que algumas pessoas (inclusive em nossa redação) estão recebendo e-mails grosseiros de phishing tentando enganar as pessoas para que entreguem suas credenciais do Twitter. pic.twitter.com/Nig4nhoXWF

- Zack Whittaker (@zackwhittaker) 31 de outubro de 2022

Os e-mails relatados a Whittaker foram enviados a jornalistas, e supunha-se que o Twitter cobraria US$ 20 por mês por um privilégio de crachá azul. (Os bandidos na verdade foram por US$ 19.99, presumivelmente porque números redondos são surpreendentemente incomuns como preços no mundo de língua inglesa, com essa redução de um centavo aparentemente fazendo um roubo de US$ 1000 parecer uma pechincha quando sai por apenas US$ 999.99.)

Os bandidos nesse golpe sugeriram que você poderia simplesmente “reverificar” para manter seu crachá azul existente e, assim, evitar cobranças futuras, e forneceram um botão de login para que você pudesse fazer exatamente isso.

Claro, clicar levou você a um site falso que tentou coletar seu número de telefone e detalhes de login do Twitter, mas você pode imaginar muitas outras abordagens que os golpistas podem adotar, incluindo:

• Convidando você a “inscrever-se cedo” para evitar decepções, e, em seguida, phishing para os detalhes do seu cartão de pagamento.
• Oferecendo-se para ajudá-lo a reivindicar um nome de conta existente, e, em seguida, phishing para obter informações pessoais significativas.
• Instando você a “pré-candidatar” para economizar tempo mais tarde, em seguida, solicitando informações semelhantes.

O próprio Elon Musk, aparentemente, posteriormente dito, "Poder para as pessoas! Azul por US$ 8/mês”, o que certamente invalida a primeira rodada de e-mails fraudulentos que insistiam que o preço seria de US$ 19.99…

…mas não faz nada para evitar que a próxima rodada de golpistas simplesmente venha com um novo palavreado atualizado para os novos termos e condições.

O que fazer?

Nosso conselho usual de segurança cibernética se aplica e ajudará você a evitar golpes de phishing, seja o gancho do Twitter, "superofertas" da Black Friday, "falhas" de entrega em domicílio, "problemas" da conta bancária ou qualquer outro tipo de mensagem que tente atrair você com medo (incluindo medo de perder), incerteza e dúvida:

• Use um gerenciador de senhas. Isso ajuda a impedir que você coloque uma senha real em um site falso, porque seu gerenciador de senhas não reconhecerá as páginas da web do impostor.
• Ative o 2FA, se puder. A autenticação de dois fatores significa que você precisa de um código de uso único, além de sua senha, tornando as senhas roubadas menos úteis para os criminosos.
• Evite links de login e botões de ação em e-mails. Se houver alguma ação que você precise realizar no site de um serviço que você realmente usa, encontre seu próprio caminho para o site real usando um URL que você já conhece ou pode procurar com segurança.
• Nunca pergunte ao remetente de uma mensagem incerta se ela é legítima. Se forem genuínos, dirão, mas se forem golpistas, dirão exatamente a mesma coisa, então você não aprendeu nada!

Lembre-se: Na dúvida, não dê.

Se isso soa como uma farsa, simplesmente assuma que é e saia na frente.