Os criminosos estão a aproveitar-se das novas regras de privacidade europeias na Internet para levar os internautas a revelar as suas palavras-passe e informação financeira (por exemplo, credenciais de acesso ao banco).

A estratégia usada é enviar emails de phishing (feitos para levar um utilizador a fornecer dados confidenciais) que se fazem passar pelas mensagens que as empresas estão a enviar sobre as actualizações de privacidade ao abrigo do novo Regulamento Geral para a Protecção de Dados (RGPD).

A plataforma de arrendamento online Airbnb é uma das afectadas. “Esta actualização é obrigatória devido às mudanças na legislação de privacidade da União Europeia”, lê-se num email falso enviado em nome da Airbnb (o remetente é important@mail.airbnb.com). "Para poder voltar a entrar na sua conta, tem de aceitar os nossos novos termos de privacidade." Porém, em vez de direccionar os utilizadores a uma página onde podem ler e dar o seu consentimento sobre as mudanças, as pessoas chegam a uma página falsa onde têm de responder a perguntas sobre as suas credenciais de acesso e, nalguns casos, informação bancária. O alerta foi dado pela empresa de cibersegurança londrina RedScan.

Mesmo os mais atentos a este tipo de fraudes podem ser enganados, devido à grande quantidade de emails legítimos que estão a ser enviados por empresas sobre as mudanças. Com o RGPD a chegar no final de mês, as empresas são obrigadas a pedir consentimento explícito dos utilizadores para guardar os seus dados. O objectivo é dar mais controlo aos utilizadores sobre a informação que partilham online.

Evitar problemas Verifique bem o endereço de email que enviou a mensagem e leia com atenção o texto em busca de erros ortográficos ou pedidos que pareçam estranhos. Se o email lhe pedir para aceder a um site, verifique com atenção o endereço. Se foi atacado, há formas de recuperar credenciais de acesso e várias precauções que pode tomar para evitar problemas. O PÚBLICO sugere algumas neste artigo.

“A ironia não se perde. Os criminosos estão a aproveitar-se de regras para proteger os dados dos utilizadores, para roubar esses mesmos dados”, diz Mark Nicholls, director de cibersegurança da Redscan em comunicado. “É uma campanha de phishing oportunista puro.”

No caso da Airbnb, para complicar a situação, enquanto circula o email fraudulento, a própria empresa está a enviar emails legítimos sobre a actualização das suas regras. Num tutorial online sobre a questão, a empresa pede aos utilizadores para estarem atentos a quem enviou a mensagem: há dez emails autênticos da Airbnb. Todos os outros são falsos.

Em declarações à imprensa, a Airbnb acrescenta que os responsáveis pelo ataque não tiveram acesso aos dados dos utilizadores da empresa. Os emails estão a ser enviados para endereços aleatórios (podendo chegar, ou não, a clientes do Airbnb). “São uma tentativa flagrante de utilizar uma marca de confiança para roubar informação dos utilizadores, e não têm nada a ver com a Airbnb”, diz um porta-voz da empresa.

