Um consultor de redes sociais identificou, na passada semana, contas falsas verificadas que se faziam passar pela empresa Meta, dona das redes sociais Facebook e Instagram. Processos de atribuição de contas verificadas levantam questões sobre o papel da Meta na proteção dos utilizadores.
A Meta, que recentemente conseguiu a autorização das autoridades espanholas para avançar com a construção de um grande centro de dados em Talavera de la Reina, junto ao rio Tejo, está de novo no centro das atenções — e não é pelos melhores motivos.
Uma nova fraude, descoberta a semana passada, recorre a páginas verificadas na rede social Facebook, que mudam posteriormente de nome para se fazerem passar por páginas da própria Meta — e assim obter indevidamente dados dos utilizadores.
Os criminosos roubaram páginas verificadas que acumulavam milhares, por vezes até milhões de seguidores, e mudaram o seu nome para se fazerem passar pela Meta ou outras empresas. Através de anúncios, atraíram a atenção dos utilizadores com publicações que continham ligações maliciosas.
Desta forma, os hackers roubam as credenciais que dão acesso aos perfis e até a informação pessoal e financeira dos utilizadores, alterando a aparência das contas roubadas para estas se tornarem idênticas às da Meta.
As publicações, descobertas inicialmente pelo consultor em redes sociais Matt Navarra, simulam alertas de problemas de segurança que, alegadamente, impedem a gestão das páginas na rede social Facebook. Incluem ainda uma enganosa indicação para descarregar uma suposta solução externa que daria acesso à plataforma de anúncios.
How did this ad get approved @Meta ?
😬
Verified account impersonating Meta tricking users into downloading shady tools pic.twitter.com/maPW6RWL3F
— Matt Navarra (@MattNavarra) May 4, 2023
“Devido a problemas de segurança, já não é permitido gerir contas de anúncios no browser. Passe a usar uma ferramenta mais profissional e segura”, lê-se na publicação fraudulenta de uma conta verificada, Meta Ads. Mais tarde, surgiu uma publicação igual vinda de uma conta verificada denominada Meta Ads Manager.
A publicação, que se salienta pela sua informalidade, não fica por aqui, com os burlões a fazer mais um apelo ao download depois da partilha do link duvidoso.
“Para o seu trabalho não sofrer interrupções, faça por favor o download e use a ferramenta agora. O novo gestor está carregado de novas ferramentas que são capazes de atingir melhor o seu público-alvo e otimizar anúncios automaticamente melhor.”
O crime foi rapidamente desmascarado por Navarra, que alertou, através da rede social Twitter, para a situação, que não é um caso isolado. Acedendo ao histórico da página — que é público — Navarra percebeu que a mesma havia mudado o seu nome de Umana Umana para Meta Ads a 4 de maio.
No dia seguinte, avisou o analista, surgiu no Facebook uma outra conta verificada que se fez passar pelo GoogleAI e havia alterado o seu nome no passado dia 29. O seu nome anterior, durante pelo menos uma década, era… Miss Pooja, popular cantora e atriz indiana que era dona da mesma conta — com mais de 7 milhões de seguidores — antes desta ser hackeada.
Neste caso, a publicação enganosa alertava para a facilidade de venda de produtos com o apoio do Marketing do GoogleAI, com uma ligação que apontava para os detalhes da mesma ferramenta.
Processo de verificação da Meta levanta questões
As contas hackeadas já eram verificadas anteriormente pela Meta e não estavam relacionadas com as empresas. Questões levantam-se: a Meta permitiu que estas contas mudassem os seus nomes sem passarem mais uma vez pelo processo de verificação exigido?
Nos seus padrões de verificação de contas, o Facebook avisa claramente que, se a conta representar uma organização, “é necessário um número de telefone, uma conta de utilidade (ex.: conta da luz, gás ou água), um certificado de formação, um artigo de incorporação ou documentos de isenção de imposto” para a verificar.
Uma vez que permitiu esta mudança de nome, que se pode assumir como roubo de identidade, a Meta não cumpriu estes padrões.
Anúncios enganosos foram aprovados pela Meta
Os criminosos não só conseguiram fazer-se passar pelas empresas, como conseguiram comprar os anúncios no Facebook, assegurando a presença de links maliciosos no feed dos utilizadores.
Esta publicidade paga e enganosa tem de passar por um algoritmo de verificação de conteúdo antes de ser partilhada. Os hackers conseguiram ver os seus anúncios aprovados, sem quaisquer problemas, pelos sistemas automatizados de aprovação de anúncios.
“Investimos recursos significantes na deteção e prevenção de golpes e hacks. Apesar de muitas das nossas melhorias serem difíceis de ver — porque poupam as pessoas de ter problemas à partida — os golpistas estão sempre a tentar contornar as nossas medidas de segurança” um porta-voz da empresa disse ao TechCrunch.
De acordo com a PCMag, a Meta lançou recentemente um programa de verificação — Meta Verified — na tentativa de melhorar a proteção de contas e de proteger os utilizadores do Facebook de golpistas.
As contas identificadas pelo consultor Matt Navarra foram, entretanto, desativadas pela Meta.
