Se você passou algum tempo no aplicativo Matter Thread no ano passado, provavelmente viu o que gosto de chamar de “The Mr. Beast Reply Guys”: uma conta de spam que responde a uma postagem popular com uma frase sem sentido e uma captura de tela de baixa qualidade de um jornal britânico. Os tempos Apresentando uma história fictícia sobre o Sr. Besta. Geralmente há uma segunda imagem, aparentemente aleatória – geralmente um buquê de flores com um iPhone. Existem algumas pequenas variações na fórmula, mas essas postagens estão praticamente em toda parte.
Assim como muitos spams nas redes sociais, isso faz parte de um grande golpe de criptografia
De acordo com uma análise de Jack Edwards, pesquisador de segurança da Infoblox, os indivíduos ou grupos por trás dessas contas administram mais de 10.000 sites maliciosos de “criptocassinos”. O Engadget identificou dezenas de contas postando spam de resposta do Sr. Beast em tópicos, alguns dos quais receberam centenas de milhares de visualizações nos últimos 30 dias. Todas as contas identificadas como parte da mesma rede pelo AdWords promoviam websites.
Embora os golpistas usem constantemente novos truques para atrair pessoas para esquemas financeiros, a forma como essas postagens se desenrolaram no tópico é incomum, de acordo com Edwards e Mark Beer, chefe de consumo da plataforma de detecção de golpes Malwarebytes. Por um lado, as postagens não têm links claros para os golpes que estão promovendo. Mesmo frases estranhas como “pensar como aparas de lápis enroladas” aparecem com imagens, semelhantes ao típico conteúdo de criptografia para enriquecimento rápido que muitos usuários de mídia social costumam encontrar. Mas dê uma olhada mais de perto nas capturas de tela falsas e você verá que cada foto de baixa resolução do YouTuber é acompanhada por uma notícia falsa alegando que ele está lançando um novo “projeto” ou “promoção” e pagando se você visitar um site incompleto.
Edwards acredita que a estranha prática de postagem da conta é uma tentativa de evitar a detecção pelo sistema Meta e de testar a resistência dos tipos de postagens com maior probabilidade de ganhar visibilidade. “Esta rede é um monstro para testes A/B”, disse ele ao Engadget, referindo-se à capacidade deles de experimentar diferentes variações do mesmo conteúdo para determinar o que funciona melhor. “Esses atores de ameaças potencialmente perceberam que seus domínios estão sendo capturados muito rapidamente quando são incorporados em postagens, então eles tentaram esse processo estranho em que você enterra o domínio e faz a pessoa pensar que é uma caça ao tesouro. Se você está apenas promovendo uma imagem e tem uma URL obscura que pode não causar muitos danos a esses sistemas.
Os golpistas do Mr. Beast Reply também parecem ter descoberto como otimizar seu spam para as peculiaridades exclusivas do algoritmo de thread. Uma técnica comprovada para ganhar visibilidade em tópicos populares de pós-resposta; meta disse Metade dos comentários no tópico vêm das respostas. Frases absurdas e capturas de tela de baixa resolução, que muitas vezes exigem que você amplie a imagem para vê-la corretamente, provavelmente estão atraindo mais usuários para permanecer nas postagens. O que pode ser uma receita para obter alguma amplificação algorítmica.
“Eles estão tentando alimentar um algoritmo, e cada plataforma tem um algoritmo diferente”, disse Mark Beer, chefe de clientes da plataforma de detecção de golpes Malwarebytes. Embora Bear tenha dito que não estava familiarizado com essa rede específica de golpistas de criptografia, ele não ficou surpreso com a aparente opinião deles sobre o Sr. Fera, diz ele, é agora uma das figuras públicas mais onipresentes no escândalo, com mais do que outras celebridades frequentemente citadas, como o YouTuber Elon Musk.
Muitos desses sites fraudulentos (como o acima) executam golpes simples de depósito, disse Edwards. Os sites prometem algum tipo de “prêmio grátis” ou bônus de inscrição para motivar as pessoas a se inscreverem. Depois que eles se inscrevem e recebem seu crédito promocional – que um site do Engadget rotulou de “dinheiro grátis” – eles recebem uma introdução às máquinas caça-níqueis online e outros jogos simples. Os sites afirmam que os usuários podem sacar e depositar fundos a qualquer momento, incentivando os usuários a fornecer informações de cartão de crédito ou conectar carteiras criptografadas.
Depois de inserir um suposto código promocional do Mr. Beast Spam em um desses sites, fui informado que estava “entre os vencedores de nossa promoção de evento de bônus de US$ 10 milhões” e ganhei US$ 3.000. Apenas é necessário um endereço de carteira ou número de cartão de crédito para retirar esses ganhos. Isso se enquadra no padrão descrito por Edwards.
“Geralmente é: inscreva-se para receber seu bônus de depósito, e então ele começa a mostrar retornos falsos e então eles o incentivam a depositar mais dinheiro”, explica ele. “Eles não estão realmente procurando por contras longos, mas sim por apostas rápidas.”
Não está claro quantas pessoas estão caindo nesse golpe. Uma análise de mais de 10.000 domínios coletados pela Edwards mostra que muitos desses supostos cassinos criptográficos estão recebendo muito pouco tráfego. Mas no tópico, algumas das contas que postaram o spam de resposta do Sr. Beast receberam quase um milhão de visualizações nos últimos 30 dias, de acordo com as métricas de visualização públicas do tópico. Algumas dessas contas pareciam ser contas hackeadas de usuários comuns, enquanto outras eram contas relativamente novas que pareciam ter pouco propósito além de promover sites de cassino. Alguns costumam vincular canais do Telegram e postar clipes pornográficos de meio segundo que anunciam “Threads Hot Videos 18+”. (Surpreendentemente, postagens com clipes pornográficos não aparecem no aplicativo Threads, embora sejam visíveis em threads.com.)
Edwards, que rastreou campanhas semelhantes em outros sites, suspeita que os golpistas estejam ativos em outras plataformas além de threads. As postagens do tópico têm alguma semelhança com ondas de spam Discordância direcionada no ano passado, e há alguma sobreposição entre domínios maliciosos que circulam em ambas as plataformas. Ele também observou que muitos sites recentes que descobriu continham anúncios X, bem como o meta pixel, que permite aos anunciantes do Facebook rastrear como as pessoas estão usando seus sites. “Tenho certeza de que eles estão gastando uma quantia significativa de dinheiro em anúncios”, diz ele
O que não está claro é até que ponto o meta está ciente do problema de spam centrado no Sr. Embora a empresa pareça estar removendo algumas contas vinculadas ao grupo, a frequência com que essas postagens aparecem levanta questões sobre a eficácia de sua aplicação.
Captura de tela da seção de negócios falsos Os tempos Aparecendo há mais de um ano. Tornou-se até uma espécie de piada interna na plataforma. “Alguém pensa que sua postagem ‘deu certo’ quando você começa a receber comentários de spam do Sr. Beast”, disse um usuário. disse Em abril, “Wake Up Baby! O novo spam do Mr. Beast caiu”, Alguém postou No início deste mês, quando uma nova variante da captura de tela do Sr. Beast – mostrando um artigo falso da CNN – apareceu.
Tanto Edwards quanto Bear disseram que o Meta deveria ser capaz de detectar esse tipo de campanha, mesmo que os golpistas usem táticas astutas para ocultar os URLs que estão promovendo. Meta não havia fornecido comentários ao Engadget no momento em que este artigo foi publicado.
“O Meta tem um ótimo modelo de detecção de IA, o Facebook tem um modelo muito, muito bom para eles”, disse Beer. “Na verdade, tudo se resume à priorização. Se essas estratégias ainda estão funcionando e estão funcionando há muito tempo, isso significa… que não foram priorizadas para serem corrigidas.”








