Autor: Melissa Cruz Cossetti

Sarahah Exposed, Sarahah View, Reveal Sarahah e Sarahah Spyer aplicam golpes nos usuários.

Falsos sites prometem revelar quem enviou mensagens no Sarahah

O Sarahah é uma febre no Brasil. Acessível via web e celular, permite que os usuários enviem mensagens anônimas — feedback sinceros — sem se identificar. Já é palco, inclusive, da prática de crimes digitais como ciberbullying e seu anonimato é relativo, segundo advogados. Entretanto, descobrir quem enviou um Sarahah ruim para você ou mesmo uma declaração de amor talvez só seja possível com a força da Justiça. Os falsos sites que apareceram nos últimos dias, prometendo revelar o autor das mensagens anônimas, na verdade, são golpes e você deveria ficar longe deles.
Há uma série de sites falsos, todos com o mesmo layout, que oferecem o serviço de revelar a identidade de quem envia uma mensagem pelo Sarahah. As páginas, porém, não cumprem o que prometem. Exigem a instalação de pelo menos dois aplicativos no celular — com nomes de jogos famosos para smartphone como Clash Royale e Super Mario Run— ou cadastro em serviços pagos de SMS. Convidam a completar um formulário ou assinar conteúdos entregues diariamente como horóscopo, cobrados na conta de telefone. Em todos os casos, solicitam o número de celular da vítima. Uma vez informado, começam a debitar.
Funcionam da seguinte forma: a pessoa informa seu nome de usuário e clica em “check now”. Após isso, o site simula uma varredura no seu perfil e redireciona o usuário para uma segunda página que impõe uma condição: “o site é gratuito para você usar quantas vezes quiser. Para ajudar a pagar os custos do servidor nós pedimos que você baixe dois aplicativos grátis”, informa o site que aplica o golpe.
Site redireciona o usuário para baixar apps não originais no celular (Foto: Reprodução/ Melissa Cruz Cossetti)
Os sites falsos que prometem revelar o autor do Sarahah são:
  • Sarahah Exposed;
  • Sarahah View;
  • Reveal Sarahah;
  • Sarahah Spyer

Reveal Sarahah tem visual um pouco diferente mas o mesmo processo (Foto: Reprodução/ Melissa Cruz Cossetti)

Para evitar que os usuários desconfiem, os sites mostram ainda comentários em inglês de outros internautas que supostamente usaram o serviço e estão muito satisfeitos com o resultado. Para atrair pessoas, os criminosos também tem usado bots no Sarahah para anunciar o lançamento via mensagem anônima no app.
Sarahah: bots enviam mensagens anônimas para atrair pessoas ao site (Foto: Melissa Cruz Cossetti/TechTudo)
Tudo, porém, não passa de uma farsa. Segundo Fabio Assolini, analista sênior da Kaspersky no Brasil, além de não cumprir o que promete, o site tenta aplicar um golpe quando redireciona os usuários para o endereço http://www.appcaptcha.com, que obriga a fazer o download de dois aplicativos Android de fora da Google Play.
“O site é uma farsa e potencialmente perigoso. Sem informar nenhum nome de usuário, ele faz todo o [falso] ‘processo de decifragem das mensagens’. Mas, para exibi-la pede que o usuário instale dois apps no seu dispositivo. E aí mora o perigo, nesse processo podem ser ofertados apps potencialmente maliciosos, especialmente aplicativos fora da loja oficial [Google Play], e isso afeta em especial os usuários de Android. Não recomendamos o uso desse site”, diz o especialista.

Sarahah trabalha em resposta e nega revelar autores

Na seção de perguntas frequentes, o Sarahah informa que não revela a identidade dos remetentes sem seu consentimento e também afirma que está trabalhando em um recurso para responder as mensagens. “Você não pode responder mensagens agora. Estamos estudando esta opção”, diz o texto do FAQ.
O perfil oficial do Sarahah no Twitter publicou no último sábado (12) uma mensagem em que nega que os sites possam decifrar as mensagens e descobrir os autores. “Sarahah gostaria de esclarecer que todas as mensagens sobre a identificação dos remetentes são falsas”, diz o tweet no microblog oficial.

Sarahah avisa que sites não podem descobrir autores de mensagens (Foto: Reprodução/ Melissa Cruz Cossetti)

Golpe é reciclado do WhatsApp

Se você acha que já viu isso, não está enganado. O processo é parecido com golpes de WhatsApp, que oferecem falsos cupons e, que para resgatar, o usuário precisa informar o número do celular. Como já apontado por especialistas, os criminosos se aproveitam da ingenuidade e curiosidade das pessoas para “surfar as ondas” e atrair vítimas. Hoje, é o Sarahah, amanhã, pode ser outro app.
“Já vimos isso antes com outros aplicativos. É a mesma história só que de uma forma diferente. O criminoso vai usar a curiosidade das pessoas, no caso um aplicativo que é febre hoje”, diz Camillo Di Jorge, presidente da ESET Brasil. Ainda de acordo com o executivo, os criminoso ganham dinheiro com serviços SMS.
“Estes golpes utilizam a mesma estratégia de monetização de outras ações, pegam a curiosidade do usuário para gerar dinheiro por meio de assinatura de serviços SMS ou apps. O tipo do ataque varia de acordo com o dispositivo, tem comportamento diferente se é aberto via celular ou no computador. Produtos de antivírus bloqueiam esses sites, servindo de alerta para o usuário”, completa.

Saiba como escolher um bom antivírus no PC e no celular

O golpe não implica em vírus, mas faz uso da Internet e do comportamento do usuário para atrair assinaturas em serviços de SMS não desejados. Não instala malware, mas pode ser detectado por antivírus que vasculham a Internet e recebem reportes de sites com características de phishing. Saiba como escolher um bom antivírus e fique livre de cair em golpes como esses no computador.

Informei me celular e agora?

Se você colocou o número do celular, vale voltar à página usada e buscar novamente o download do aplicativo, via número do telefone. Nesta página há um alerta “para sair envie XXXX”. A promessa é de que, ao enviar um SMS com o código, o número seja desligado do serviço e a cobrança pare de atuar na conta.
Instalação de falso Super Mario Run é paga e para sair envie SMS (Foto: Reprodução/ Melissa Cruz Cossetti)
Fonte: Techtudo