Você está aqui: Página Inicial / Blog / Pre-hijacking: o que é o novo golpe que está virando febre até no Brasil

Pre-hijacking: o que é o novo golpe que está virando febre até no Brasil

Usando um truque bastante engenhoso, criminosos cibernéticos são capazes de roubar contas que você ainda nem possui; ataque se aproveita de falha estrutural em alguns sites da web.
Pre-hijacking: o que é o novo golpe que está virando febre até no Brasil

Imagine a seguinte situação: você acorda em uma bela manhã, abre sua caixa de entrada e encontra um e-mail de um site qualquer agradecendo o cadastro feito durante a madrugada. É uma situação bastante atípica, que deixaria qualquer pessoa com uma pulga atrás da orelha. Qual seria a sua reação? Concluir que sofre de sonambulismo? Cogitar que algum membro de sua família usou seu dispositivo enquanto você dormia?

A verdade é que a maioria dos internautas, por pura curiosidade, tentaria fazer login na tal plataforma. Mas… como fazê-lo, se você nem sabe qual senha foi usada durante o cadastro? Ora, é simples: basta clicar no botão de recuperação de senha para obter acesso à conta. Uma vez autenticado, o usuário com certeza vai “fuçar” o site em questão, e, caso se interesse pelas funcionalidades, pode até mesmo enriquecer seu perfil informando mais detalhes pessoais.

Saiba que, se você seguisse todos os passos descritos acima, você seria a mais uma vítima de um novo golpe que assola a internet. Trata-se do pre-hijacking, que, em português, significa algo como “pré-sequestro”. Essa é uma manobra maliciosa na qual um criminoso cibernético se apodera de uma conta que você ainda nem possui. Essa manobra é mais comum do que muitos imaginam e há, inclusive, relatos de vítimas brasileiras.

Roubando o que você (ainda) não tem

O conceito por trás do pré-sequestro é simples, mas bastante engenhoso. Primeiramente, o golpista usa endereços de e-mail vazados em outros incidentes para criar contas em sites aleatórios. A vítima, ao receber a notificação de que uma conta foi criada com seu endereço, tentará obter acesso por pura curiosidade. Para isso, ela vai precisar redefinir a senha usando o recurso de recuperação, com altas chances de escolher uma combinação já usada em outro serviço da web.

Nesse momento, o golpista se aproveita de uma falha estrutural que existe em vários sites: permitir que duas pessoas se mantenham logadas no serviço simultaneamente em dois dispositivos distintos. O criminoso, então, rouba a senha que você cadastrou e poderá usá-la futuramente para tentar invadir outras contas. Caso a vítima use uma senha usada em outros serviços, ele terá sucesso na empreitada. 

Como citamos anteriormente, o pré-sequestro pode se tornar ainda mais perigoso se, por algum motivo, a vítima se interessar pelo site no qual foi cadastrada pelo criminoso e passar a usá-lo normalmente, completando o perfil com mais informações pessoais e até mesmo fornecendo dados bancários. Todas essas informações estarão ao dispor do atacante, que, logado na conta, poderá roubar esses dados sem o mínimo de esforço.

Fácil de evitar

Como você pôde conferir, o pre-hijacking é um golpe muito engenhoso e simples, mas que depende, sobretudo, da curiosidade e da ingenuidade do internauta para ter sucesso. Se você receber um e-mail confirmando a criação de uma conta que você não se lembre de ter se registrado, simplesmente ignore-o ou use o recurso de recuperação de senha apenas para cadastrar uma password aleatória e deletar o perfil imediatamente.

Produção: Equipe de Conteúdo da Perallis Security
Conteúdo relacionado
Hacker Rangers - Gamificação para conscientização em cibersegurança