Índice
Toda semana, milhares de contas do Instagram hackeadas são relatadas na França. Criadores, empreendedores, indivíduos, ninguém é poupado. Ao contrário do que se pensa, esses hacks quase nunca se baseiam em ataques complexos ou falhas desconhecidas. Os métodos usados hoje são simples, discretos e extremamente eficazes, pois exploram reflexos humanos e mecanismos internos da plataforma.
O método mais comum baseia-se em mensagens privadas imitando o Instagram. Essas mensagens usam formulações críveis e jogam com o medo de perder o acesso à conta. Muitas vezes mencionam uma atividade suspeita, uma violação das regras ou uma verificação urgente.
O link fornecido redireciona para uma página quase idêntica à interface oficial. Logotipo, cores, tipografia, tudo é reproduzido com cuidado. Uma vez inseridas as credenciais, elas são transmitidas instantaneamente aos fraudadores. Em mais de 60% dos casos relatados, a conta é então bloqueada nos minutos seguintes, impedindo qualquer recuperação rápida.
Os criadores de conteúdo tornaram-se alvos privilegiados. Uma abordagem muito utilizada consiste em propor uma colaboração ou parceria via mensagem privada. O discurso é lisonjeiro, personalizado e crível, às vezes acompanhado de um falso site de marca.
A armadilha se fecha quando a vítima é convidada a abrir um link para consultar um briefing, um contrato ou visuais. Atrás desse link, há um formulário solicitando uma conexão ao Instagram. De acordo com várias análises do setor, quase uma em cada três contas de criadores hackeadas é através desse tipo de mensagem.
Outro método baseia-se no medo de perder seu conteúdo. A mensagem indica que uma publicação infringe direitos autorais e que uma ação rápida é esperada. O tom é administrativo, às vezes assinado como “Suporte do Instagram” ou “Equipe Meta”.
Esse tipo de mensagem funciona particularmente bem, pois visa contas que publicam regularmente. Um estudo realizado em 2024 mostra que 42% dos usuários que receberam essa mensagem clicaram no link, pensando em proteger sua conta. Uma vez transmitidas as credenciais, a conta é transferida ou usada para disseminar mensagens fraudulentas.
Muitas pessoas autorizam aplicativos de terceiros para analisar estatísticas, planejar publicações ou acompanhar assinaturas. Alguns desses aplicativos solicitam permissões muito amplas, às vezes sem que o usuário perceba o alcance.
Quando o aplicativo é malicioso ou comprometido, ele pode recuperar os dados de login ou publicar conteúdo sem consentimento claro. De acordo com dados de empresas de cibersegurança, um em cada cinco hacks ocorre por meio de um aplicativo externo concedido meses antes e depois esquecido.
Uma das falhas mais exploradas continua sendo a senha idêntica em vários serviços. Quando uma plataforma sofre um vazamento de dados, as credenciais são testadas automaticamente no Instagram. Essa técnica, amplamente automatizada, permite assumir o controle de contas sem interação direta com a vítima.
As estatísticas são reveladoras: quase 65% das contas hackeadas usavam uma senha já presente em um banco de dados comprometido. O usuário muitas vezes não recebe nenhum alerta antes da tomada de controle.
Mesmo quando a senha não é roubada diretamente, alguns hackers modificam discretamente o endereço de e-mail associado à conta. Essa ação impede o recebimento de notificações de segurança e links de recuperação.
Uma vez modificado o e-mail, torna-se muito difícil provar a propriedade da conta. O Instagram então registra as solicitações de recuperação como suspeitas. Esse método é particularmente usado contra contas profissionais ou muito seguidas.
Uma vez hackeada, a conta nem sempre é usada pelo ladrão inicial. Muitas contas são revendidas em plataformas clandestinas, de acordo com seu número de seguidores, sua antiguidade e sua temática.
Os preços variam muito:
Essas contas são então usadas para disseminar golpes, publicidade fraudulenta ou para reforçar artificialmente outros perfis.
Certos sinais devem alertar imediatamente:
Em quase 70% dos casos, as vítimas percebem esses sinais tarde demais, quando o acesso já está restrito.