Por quase uma semana, os usuários do Instagram têm recebido mensagens estranhas de seguidores e expressam surpresa ao descobrirem que suas contas acabaram em algo chamado “Nasty List” (Lista desagradável, em tradução livre). Certamente ninguém gosta de saber que foi incluído em uma lista com esse nome, e isso apela para a curiosidade da maioria das pessoas.

Se você receber uma, a mensagem com um link incorporado será parecida com o exemplo a seguir (a lista e os números de veiculação variam):

OMG você realmente está aqui, @ TheNastyList_xx, seu número é 26! é realmente confuso.

Parece duvidoso, mas a mídia social tem tudo a ver com cliques rápidos, então é o que algumas pessoas fazem, sem saber do perigo que estão correndo.

De acordo com o Bleeping Computer, clicar no link do perfil TheNastyList leva a uma página contendo um segundo link que diz que permitirá ao usuário ver todos da suposta lista.

Os leitores provavelmente já descobriram o que virá a seguir – qualquer um seguindo isso é solicitado pelo nome de usuário e senha do Instagram (o link na página de login não é um endereço legítimo do Instagram, mas parece que muita gente não percebe isso).

Qualquer pessoa que insira suas credenciais se encontrará em uma situação difícil, começando com toda a sua base de seguidores recebendo a mesma mensagem dizendo que eles também estão na Lista Nasty – e assim o ataque de phishing na mídia social cresce e se espalha.

Eles também potencialmente entregaram o controle de sua conta aos criminosos para fazer o que quiserem.

Como uma das primeiras vítimas notou ao discutir o ataque em um thread do Reddit:

Assim que eu cliquei no link eu saí de lá percebendo que era um hack, mas um dia depois as mensagens foram enviadas. Alterei minha senha e liguei a autenticação de dois fatores. Isso significa que o bot ainda tem acesso à minha conta?

Muito tarde

É fácil dizer não caia nisso, mas e se as pessoas caem nisso?

Primeiro, desde que você tenha certeza de que não inseriu suas credenciais na página de login falsa, você deve estar seguro.

Se você inseriu suas credenciais, mas está usando a autenticação de dois fatores (2FA) via SMS ou um aplicativo autenticador, você deve estar bem porque é muito mais difícil para criminosos contornar isso.

O 2FA pode ser configurado no Instagram, indo ao seu perfil e selecionando o ícone do de listas horizontais. Em seguida, escolha Configurações> Privacidade e segurança> Autenticação de dois fatores e siga as instruções na página.

Se houver risco de comprometimento da sua conta, você deverá alterar imediatamente a senha da sua conta, ativar o 2FA e verificar novamente se o endereço de e-mail e o número de telefone associados à conta não foram alterados.

Se você usou a mesma senha para o Instagram em outras contas on-line, também deverá alterá-las imediatamente. E torne as novas senhas diferentes para cada conta – os gerenciadores de senhas realmente ajudam nisso.

Para mais informações sobre como proteger sua conta do Instagram, leia o nosso guia.

Com informações do blog Naked Security, da Sophos – uma parceira SdRedes.