Resolução de ano-novo: ter mais cuidado com e-mails falsos!

padlock.png

Hoje é o último dia do ano, estou me preparando para o réveillon e preferia não publicar nada mais sério do que uma bonita mensagem de feliz ano-novo. Infelizmente, parece que scammers não descansam… E não deixam ninguém descansar!

Recentemente, tem havido um aumento no número de mensagens de phishing. Muitas são as costumeiras mensagens de instituições bancárias mas, creio eu, a maioria das pessoas aprendeu a ignorá-las.

A novidade agora são falsas mensagens de programas de fidelidade, de milhas aéreas a cartões de crédito… Pelo menos desde 2004 malfeitores tentam roubar milhas aéreas por e-mail aqui no Brasil. Mas essa nova geração de mensagens é mais rebuscada, mais difícil de detectar!

Essa semana, recebi quatro mensagens falsas, três da TAM e uma da Cielo (máquinas de cartões de crédito). Vou reproduzi-las a seguir, apontando os detalhes que servem como indícios (destacados nas reproduções das mensagens).

Primeira mensagem (TAM)

A primeira mensagem trouxe poucos erros de português e seguiu o padrão da maioria das mensagens de propaganda atualmente, usando imagens, e trazendo inclusive a instrução Se você não conseguir visualizar esta mensagem, Clique aqui! antes da imagem:

De: TAM FIDELIDADE <>
Para: Recipients <>
Assunto: Cadastre-se na Promocao Milhas de Viagens TAM Fidelidade

scam_tam_2011a_1.png  scam_tam_2011a_2.png

Observei as áreas em destaque

Devem chamar a atenção:

  • o remetente em letras maiúsculas;
  • o endereço do destinatário (normalmente é um endereço no padrão “noreply@...“);
  • o assunto escrito errado (promoção sem cedilha ou acento);
  • a instrução no corpo da mensagem, continha uma letra maiúscula no meio da frase (Clique aqui);
  • os cantos da imagem presente no e-mail, fora de padrão;
  • o link presente no e-mail apontava para o domínio milha21.com, diferente dos domínios da TAM; e
  • os campos solicitando endereço e senha do e-mail.

Se você só desconfiou quando viu o campo solicitando endereço e senha do e-mail, arriscou-se demais! É interessante observar que os dados completos do cabeçalho do e-mail traziam o seguinte aviso: domain of tam.com.br does not designate 210.14.81.209 as permitted sender, confirmando que endereço do remetente era falsificado. Aliás, o endereço IP localiza-se fora do Brasil…

Segunda mensagem (TAM)

Esta mensagem, também trouxe a instrução comum em mensagens gráficas, orientando o destinatário a clicar seguir um determinado link caso não visse a mensagem corretamente:

De: "" <>
Para:
Assunto: MEGA PROMO TAM FIDELIDADE: Inscreva-se e obtenha 100 Mil Pontos!

scam_tam_2011b.png

Observei as áreas em destaque

Devem chamar a atenção:

  • o remetente exibindo o endereço diretamente;
  • o endereço do destinatário (normalmente é um endereço no padrão “noreply@...“);
  • o assunto escrito em maiúsculas;
  • o botão de cadastramento que parece ter sido “colado” na mensagem;
  • a formatação do texto na imagem (espaçamento ruim, texto com visualização ruim, etc.);
  • os erros de português, especialmente concordância, existentes na mensagem; e
  • os links apontando para um endereço IP (208.64.128.20/images/tam2.html – também fora do Brasil).

Os dados completos do cabeçalho do e-mail também traziam o aviso: domain of tam.com.br does not designate 74.220.193.181 as permitted sender, confirmando que endereço do remetente era falsificado. Mais uma vez, o endereço IP localiza-se fora do Brasil…

Terceira mensagem (TAM)

Desta vez, a mensagem não trouxe a costumeira instrução para visualização. Em compensação, disfarçou-se como uma mensagem que respeitava o direito do usuário de evitar spam.

De: TAM <
Assunto: promoção Milhas de Viagens TAM Fidelidade.

scam_tam_2011c.png

Observei as áreas em destaque

Devem chamar a atenção:

  • o assunto iniciando com letra minúscula;
  • alguns erros de português, começando com o acento em Ola Cliente;
  • algumas contradições, por exemplo, saúda o destinatário como “cliente fidelidade”, para pouco depois supor que ele não cliente fidelidade; e
  • os links apontando para o domínio elvinsantiago.com, diferente dos domínios da TAM.

Mais uma vez, os dados completos do cabeçalho do e-mail traziam o aviso: domain of cl-t229-141cl.privatedns.com does not designate permitted sender hosts, confirmando que endereço do remetente era falsificado. Dessa vez, a mensagem nem se referia ao domínio da TAM…

Quarta mensagem (Cielo)

Desta vez, a mensagem não trouxe a costumeira instrução para visualização nem se disfarçou de uma mensagem que respeitava o direito do usuário de evitar spam.

De: Reveillon 2012 Cielo <>
Assunto: Participe Agora é Gratuito.

scam_cielo_2011.png

Observei as áreas em destaque

Devem chamar a atenção:

  • o assunto contendo letra minúscula no meio da frase;
  • alguns erros de português, como frases começando
    com letra minúscula;
  • alguns detalhes estranhos, como o sorteio em “15 de outubro” (de que ano?);
  • o link aponta para o endereço de um encurtador de domínio (zip.net); e
  • o endereço real aponta para o domínio vemcadastrar.com, não relacionado com a Cielo.

Os dados completos do cabeçalho do e-mail informavam o endereço de retorno como , não relacionado com a Cielo ou com a própria promoção. Além disso, mais uma vez trazia o aviso de domínio não permitido: domain of trampatam07.vpslink.com does not designate permitted sender hosts. Outra vez, um domínio completamente diferente do verdadeiro…

É chato encerrar o ano com uma mensagem dessas, mas alguém precisa fazê-lo… Independentemente disso, um feliz 2012!

Atualização: Por alguma razão, a parte final do artigo (relativa ao suposto e-mail da Cielo), não saiu originalmente. Peço desculpas, já está corrigido.

Um comentário sobre “Resolução de ano-novo: ter mais cuidado com e-mails falsos!

  1. Todas as mensagens da TAM eu recebi, a da Cielo não (ainda).
    Ano novo, velhas práticas, velhos bobos.
    O princípio do phishing (que é o mesmo da Engenharia Social)?
    A ingenuidade humana e o famoso ‘olho grande’ que existe desde priscas eras.

    abs,

    José Rosa.

Deixe um comentário: