Um golpe no Twitter tenta roubar login e senha de contas verificadas. Aquelas, com um sinal de check em azul ✓ fornecido pelo microblog — alvo de recente polêmica — e tem como objetivo confirmar a identidade do perfil para evitar contas falsas em nome de pessoas de interesse público. Um perfil de microblog, identificado como "Twitter Verified" (@AccountsTW), enviou DMs — mensagens diretas, inbox — a donos de contas certificadas pela rede social com links para formulários online em que, supostamente, o dono da conta deveria confirmar a sua identidade.
Conta falsa fazia parecer que agia em nome do Twitter (Foto: Reprodução/ Melissa Cruz Cossetti)
A confusão se dá no fato de que o processo de confirmação já foi feito com o Twitter — solicitação de verificação, justificativa com links e envio de documento com foto. Feito isso, não há qualquer necesside de enviar novas informações ao microblog, tampouco por meio de um formulário enviado por DM por uma conta com tweets protegidos e que, pasmem, não tem selo de verificação. O cadeado que aparece na imagem se refere ao fato da conta ser fechada, só para amigos.
... a (Foto: Melissa Cruz Cossetti / TechTudo)" src="data:image/jpeg;base64,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">
DMs enviadas pelo perfil falso pedindo informações de senha e conta (Foto: Melissa Cruz Cossetti / TechTudo)
O primeiro link foi derrubado pelo próprio Google, que impediu que a sua plataforma Google Sheets (foi usada uma simples planilha online) recebesse esses dados fruto de golpe de phishing ( com textos em inglês). Na segunda, porém, no site surveey.com, o formulário ficou no ar, sem sofrer nenhuma pressão.
Formulário pede nome de usuário, e-mail e senha duas vezes (Foto: Melissa Cruz Cossetti / TechTudo)
O TechTudo reportou a conta ao Twitter Brasil que confirmou que o perfil não é da rede social "porque não é verificado". Todas as páginas do próprio microblog como @TwitterBrasil, @TwitterBusiness e @TwitterMoments levam o selo de verificação e não enviam esse tipo de mensagem aos usuários. O site afirma que para manter um ambiente seguro para os usuários, pode suspender as contas que violam as regras do Twitter. Os motivos comuns para suspensão podem incluir: spam, segurança de conta em risco (invadida) e comportamento/tweet abusivo.
Conta @AccountsTW foi suspensa pelo Twitter após o alerta (Foto: Divulgação/Twitter)
A conta, que já seguia mais de cinco mil perfis verificados — e sempre era uma seguidora das contas de suas vítimas — foi suspensa pela rede social após a denúncia. Uma breve investigação mostra que o segundo link enviado (e que ficou no ar apenas dois dias) foi acessado por usuários de vários países. É possível que a tentiva de golpe de phishing reapareça em outro perfil. Se você tem uma conta certificada, ou mesmo comum, e recebeu uma mensagem como essa, denuncie ao Twitter, apague a DM e não forneça seus dados de login e senha.
