Damus
El Nardo de Sudamérica profile picture
El Nardo de Sudamérica
@El Nardo de Sudamérica

Idealizador do PPNND (Projeto Ponto Norte de Navegação Defensiva), auxiliando capitães a chegarem a seus destinos com o menor risco possível.

Certificado PGP: 5CAB53FEA8A71E02BC69C5DAB8EE1DC0B290AAF9

[Link do certificado](https://keyserver.ubuntu.com/pks/lookup?op=get&search=0x5cab53fea8a71e02bc69c5dab8ee1dc0b290aaf9)

Assinatura digital: [El Nardo de Sudamérica](https://eli.it.tabdigital.cloud/s/dHzLkBT5773k9zz)

Relays (8)
  • wss://nostr.mom/ – read & write
  • wss://relay.primal.net/ – read & write
  • wss://nexus.libernet.app/ – read & write
  • ws://nos.lol/ – read & write
  • wss://relay.libernet.app/ – read & write
  • wss://lang.relays.land/pt – read & write
  • wss://relay.damus.io/ – read & write
  • wss://purplerelay.com/ – read & write

Recent Notes

El Nardo de Sudamérica profile picture
**A META CONFERE SELO AZUL PARA IMPOSTORES NO WHATSAPP**

**E eu quase caí**

A Meta (antiga Facebook), empresa do Vale do Silício que é dona do Facebook, Instagram, Theads e WhatsApp, está validando impostores com selo azul de verificação, recurso que outrora foi anunciado como forma segura de distinguir contas business de empresas legítimas.

Esse selo funciona como uma assinatura mensal que representa a maior fatia de receitas para a empresa. Eles faturam entre R$ 20 a R$ 50 por selo todo mês. Para ter acesso facilitado à esses valores, a Meta afrouxa os requisitos do processo e, no fim das contas, não háfato uma apuração séria antes de conceder o selo a alguém.

O problema não é conceder selo para todas as empresas de forma facilitada, é que não há exclusividade real para quem paga. Impostores podem usar o mesmo nome (ou parte dele) e a mesma imagem (ou semelhante). O selo ao lado do nome, para quem não entende isso, induz ao erro.

Embora eles não possam usar o mesmo número, isso não é tão preocupante para o golpista. O modelo da conta Business, com nomeação padrão (mostra o nome sem você precisar nomear salvando o contato), engana as pessoas, especialmente se elas já tiverem a empresa clonada adicionada à seus contatos. Essa é a mesma facilidade com que eles clonam os advogados no golpe do falso advogado, eles usam uma conta business que já vem nomeada (dando a impressão de que a pessoa faz parte dos contatos). Sem contar que a localização do número de telefone numa conta business nem sempre é tão fácil.

Se o impostor ainda conhecer um contexto da sua relação com a empresa verdadeira, aí está armada a engenharia social! Com informações privilegiada da sua conta e status com a empresa, eles podem entrar em contato de tal forma que te induzam a confiar, para acessar links de phising (pesca de dados pessoais e número de cartão de crédito ou outras informações sensíveis que podem ser usadas para contratar serviços no nome da vítima) onde pode haver instruções maliciosas para clonar e invadir contas, instalar aplicativo espião ou para controlar o dispositivo remotamente.

No meu caso, passaram-se por uma empresa provedora de serviços de telecomunicações que tinha motivos contratuais para me contatar. Eles enviaram uma mensagem com um link oculto num texto que dizia: clique para saber mais.

Eu abri o link confiando que ele passaria pela análise do meu aplicativo de checagem de segurança, mas o impostor não é amador, ele criou um link encurtado que começa com o próprio domínio do WhatsApp para forçar que a abertura direto no aplicativo sem passar por análise e onde ele não estaria sujeito às extensões de segurança para bloquear malware e scripts nocivos.

O que torna tudo mais intrigante é que o WhatsApp permite que empresas criem links ocultos em textos que não tem meios de ser exibidos. Se você clicar, consegue ver o destino final, mas não o caminho que ele te levou até chegar lá. Esse tipo de funcionamento pode ser amplamente usado por golpistas para executar scripts maliciosos nas páginas sem o usuário nem saber para onde está indo. Por isso é bom usar um bom filtro DNS para malware, pelo menos.

Eles me conduziram a um site não oficial que supostamente oferecia um bom plano controle. Como estava trabalhando, eu deixei para ver com mais calma depois. Primeiro liguei na central da empresa verdadeira e questionei o número e o site. Não falaram objetivamente que era falso, e ficaram oferecendo plano com valor maior o que parecia apenas que eles estavam querendo vender e me fazer esquecer do link por puro interesse de ganhar comissão.

Enfim, em uma pesquisa descobri o dono do domínio, e que a sua apresentação usando o nome de outra empresa era dolosa, visto que pedia informações sensíveis (nada que a empresa verdadeira não pediria (até onde eu pude ver), mas é diferente você compartilhar com uma empresa legítima e com um terceiro que nunca ouviu falar e que já está agindo de má fé.

Embora esteja batendo mais na Meta, a própria empresa de telecomunicação parece ter culpa nisso, porque deixou vazar para terceiros informações sobre minha relação com ela (ou quem sabe até vendeu meus dados depois que cancelei o plano). Olhando por esse lado, ela também não parece ser tão vítima de falsificação assim, visto que, sendo multinacional e rica, não investiu muito em segurança ou vendeu meus dados. A vítima mesmo é o usuário. A Meta ganha, a empresa de telecomunicações ganha e o golpista também deve ganhar muito e o usuário é enganado e prejudicado.
El Nardo de Sudamérica profile picture
**A META CONFERE SELO AZUL PARA IMPOSTORES NO WHATSAPP**

**E eu quase caí**

A Meta (antiga Facebook), empresa do Vale do Silício que é dona do Facebook, Instagram, Theads e WhatsApp, está validando impostores com selo azul de verificação, recurso que outrora foi anunciado como forma segura de distinguir contas business de empresas legítimas.

Esse selo funciona como uma assinatura mensal que representa a maior fatia de receitas para a empresa. Eles faturam entre R$ 20 a R$ 50 por selo todo mês. Para ter acesso facilitado à esses valores, a Meta afrouxa os requisitos do processo e, no fim das contas, não háfato uma apuração séria antes de conceder o selo a alguém.

O problema não é conceder selo para todas as empresas de forma facilitada, é que não há exclusividade real para quem paga. Impostores podem usar o mesmo nome (ou parte dele) e a mesma imagem (ou semelhante). O selo ao lado do nome, para quem não entende isso, induz ao erro.

Embora eles não possam usar o mesmo número, isso não é tão preocupante para o golpista. O modelo da conta Business, com nomeação padrão (mostra o nome sem você precisar nomear salvando o contato), engana as pessoas, especialmente se elas já tiverem a empresa clonada adicionada à seus contatos. Essa é a mesma facilidade com que eles clonam os advogados no golpe do falso advogado, eles usam uma conta business que já vem nomeada (dando a impressão de que a pessoa faz parte dos contatos). Sem contar que a localização do número de telefone numa conta business nem sempre é tão fácil.

Se o impostor ainda conhecer um contexto da sua relação com a empresa verdadeira, aí está armada a engenharia social! Com informações privilegiada da sua conta e status com a empresa, eles podem entrar em contato de tal forma que te induzam a confiar, para acessar links de phising (pesca de dados pessoais e número de cartão de crédito ou outras informações sensíveis que podem ser usadas para contratar serviços no nome da vítima) onde pode haver instruções maliciosas para clonar e invadir contas, instalar aplicativo espião ou para controlar o dispositivo remotamente.

No meu caso, passaram-se por uma empresa provedora de serviços de telecomunicações que tinha motivos contratuais para me contatar. Eles enviaram uma mensagem com um link oculto num texto que dizia: clique para saber mais.

Eu abri o link confiando que ele passaria pela análise do meu aplicativo de checagem de segurança, mas o impostor não é amador, ele criou um link encurtado que começa com o próprio domínio do WhatsApp para forçar que a abertura direto no aplicativo sem passar por análise e onde ele não estaria sujeito às extensões de segurança para bloquear malware e scripts nocivos.

O que torna tudo mais intrigante é que o WhatsApp permite que empresas criem links ocultos em textos que não tem meios de ser exibidos. Se você clicar, consegue ver o destino final, mas não o caminho que ele te levou até chegar lá. Esse tipo de funcionamento pode ser amplamente usado por golpistas para executar scripts maliciosos nas páginas sem o usuário nem saber para onde está indo. Por isso é bom usar um bom filtro DNS para malware, pelo menos.

Eles me conduziram a um site não oficial que supostamente oferecia um bom plano controle. Como estava trabalhando, eu deixei para ver com mais calma depois. Primeiro liguei na central da empresa verdadeira e questionei o número e o site. Não falaram objetivamente que era falso, e ficaram oferecendo plano com valor maior o que parecia apenas que eles estavam querendo vender e me fazer esquecer do link por puro interesse de ganhar comissão.

Enfim, em uma pesquisa descobri o dono do domínio, e que a sua apresentação usando o nome de outra empresa era dolosa, visto que pedia informações sensíveis (nada que a empresa verdadeira não pediria (até onde eu pude ver), mas é diferente você compartilhar com uma empresa legítima e com um terceiro que nunca ouviu falar e que já está agindo de má fé.

Embora esteja batendo mais na Meta, a própria empresa de telecomunicação parece ter culpa nisso, porque deixou vazar para terceiros informações sobre minha relação com ela (ou quem sabe até vendeu meus dados depois que cancelei o plano). Olhando por esse lado, ela também não parece ser tão vítima de falsificação assim, visto que, sendo multinacional e rica, não investiu muito em segurança ou vendeu meus dados. A vítima mesmo é o usuário. A Meta ganha, a empresa de telecomunicações ganha e o golpista também deve ganhar muito e o usuário é enganado e prejudicado.
2
Segredos Sensuais BR · 1w
A escuridão avança, e o selo azul se torna sinistro. A verificação se transforma em uma farsa, e a confiança se desvanece como uma noite sem luz.
Otavio · 1w
Selo azul é só mais uma função que a Meta copiou do X do Elon Musk. O WhatsApp vive copiando as funções do Telegram também. Como editar mensagem de texto, enviar stickers personalizados, criação do seu próprio cargo em um grupo, criar enquetes em um grupo, a versão premium que te dá mais...
majorvalim · 1w
Sim
Raccoon Jackson · 1w
https://blossom.primal.net/474bdd239716401764d34bdfcc13bc7444cada012cd29c0c3e9c142ea7e480ab.gif