Emails fraudulentos usam novas regras de privacidade para roubar dados

A plataforma de arrendamento online Airbnb é uma das afectadas.

Fotogaleria

Os criminosos estão a aproveitar-se das novas regras de privacidade europeias na Internet para levar os internautas a revelar as suas palavras-passe e informação financeira (por exemplo, credenciais de acesso ao banco).

A verdade faz-nos mais fortes

Das guerras aos desastres ambientais, da economia às ameaças epidémicas, quando os dias são de incerteza, o jornalismo do Público torna-se o porto de abrigo para os portugueses que querem pensar melhor. Juntos vemos melhor. Dê força à informação responsável que o ajuda entender o mundo, a pensar e decidir.

Os criminosos estão a aproveitar-se das novas regras de privacidade europeias na Internet para levar os internautas a revelar as suas palavras-passe e informação financeira (por exemplo, credenciais de acesso ao banco).

A estratégia usada é enviar emails de phishing (feitos para levar um utilizador a fornecer dados confidenciais) que se fazem passar pelas mensagens que as empresas estão a enviar sobre as actualizações de privacidade ao abrigo do novo Regulamento Geral para a Protecção de Dados (RGPD). A plataforma de arrendamento online Airbnb é uma das afectadas.

“Esta actualização é obrigatória devido às mudanças na legislação de privacidade da União Europeia”, lê-se num email falso enviado em nome da Airbnb (o remetente é important@mail.airbnb.com). “Para poder voltar a entrar na sua conta, tem de aceitar os nossos novos termos de privacidade.” Porém, em vez de direccionar os utilizadores a uma página onde podem ler e dar o seu consentimento sobre as mudanças, as pessoas chegam a uma página falsa onde têm de responder a perguntas sobre as suas credenciais de acesso e, nalguns casos, informação bancária. O alerta foi dado pela empresa de cibersegurança londrina Redscan.

Mesmo os mais atentos a este tipo de fraudes podem ser enganados, devido à grande quantidade de emails legítimos que estão a ser enviados por empresas sobre as mudanças. Com o RGPD a chegar no final de mês, as empresas são obrigadas a pedir consentimento explícito dos utilizadores para guardar os seus dados. O objectivo é dar mais controlo aos utilizadores sobre a informação que partilham online.

“A ironia não se perde. Os criminosos estão a aproveitar-se de regras para proteger os dados dos utilizadores para roubar esses mesmos dados”, diz Mark Nicholls, director de cibersegurança da Redscan em comunicado. “É uma campanha de phishing oportunista puro.”

No caso da Airbnb, para complicar a situação, enquanto circula o email fraudulento, a própria empresa está a enviar emails legítimos sobre a actualização das suas regras. Num tutorial online sobre a questão, a empresa pede aos utilizadores para estarem atentos a quem enviou a mensagem: há dez emails legítimos da Airbnb. Todos os outros são falsos.

Em declarações à imprensa, a Airbnb acrescenta que os responsáveis pelo ataque não tiveram acesso aos dados dos utilizadores da empresa. Os emails estão a ser enviados para endereços aleatórios (podendo chegar, ou não, a clientes do Airbnb). “São uma tentativa flagrante de utilizar uma marca de confiança para roubar informação dos utilizadores, e não têm nada a ver com a Airbnb”, diz um porta-voz da empresa.