Novo golpe de “pré-sequestro de contas” coloca especialistas em alerta
Criminosos estão criando perfis em sites aleatórios usando endereços de emails randômicos só para conseguir roubar senhas e dados pessoais de internautas.
É possível roubar algo que você ainda não tem? Se aplicarmos essa pergunta ao ambiente físico, ela parece não fazer sentido algum.
Na internet, porém, um novo golpe mostra que, sim, isso é algo perfeitamente possível. Entre os criminosos cibernéticos, a moda do “pre-hacking” ou “pré-sequestro”, em português, está preocupando especialistas e fazendo muitas vítimas ao redor do globo — há relatos de pessoas afetadas inclusive aqui no Brasil. O scam se baseia, basicamente, em antecipar a criação de uma conta em algum serviço online para que a vítima forneça informações pessoais e sensíveis de bom grado.
O que é o pré-sequestro?
Funciona assim: primeiramente, o golpista utiliza um email aleatório (obtido através de vazamentos de dados ou outros métodos) para fazer um cadastro em algum site de sua preferência.
O verdadeiro dono daquele endereço de email receberá a notificação de criação de conta, e, temendo pelo pior, vai tentar recuperar o domínio daquele registro ao solicitar a alteração da senha.
O que a vítima não sabe é que o golpista vai continuar logado na conta em questão, podendo roubar sua password para posteriormente usá-la em ataques de credential stuffing.
Um ataque de pré-sequestro pode se tornar ainda mais perigoso caso, por pura curiosidade, a vítima decida utilizar o serviço ou plataforma na qual foi cadastrada indevidamente, concluindo seu registro ao informar dados pessoais e/ou sensíveis. Nesse caso, o golpista poderá ainda roubar tais dados.
Esse novo tipo de scam se baseia em falhas estruturais presentes em determinados sites, que possibilitam que uma conta se mantenha logada simultaneamente em dois dispositivos e não “expulsam” outras sessões após o reset de uma senha.
Por isso, fica a dica: caso receba a notificação de um cadastro feito com seu endereço de email, ignore a ação ou faça o reset da senha utilizando uma password temporária bem específica — como “apagarestaconta” — e delete o registro imediatamente.
Você deve sempre tomar todo e qualquer cuidado necessário para evitar perda ou roubo de dados de funcionários e da empresa.
Uma excelente forma de manter todo esse cuidado é contar com a Aser Security que faz todo um processo de análises de vulnerabilidades e fortalece todos os seus sistemas de segurança.