Hoje é o último dia do ano, estou me preparando para o réveillon e preferia não postar nada mais sério do que uma bonita mensagem de feliz ano-novo. Infelizmente, parece que scammers não descansam… E não deixam ninguém descansar!

Recentemente, tem havido um aumento no número de mensagens de phishing. Muitas são as costumeiras mensagens de instituições bancárias mas, creio eu, a maioria das pessoas aprendeu a ignorá-las.

A novidade agora são falsas mensagens de programas de fidelidade, de milhas aéreas a cartões de crédito… Pelo menos desde 2004 malfeitores tentam roubar milhas aéreas por e-mail aqui no Brasil. Mas essa nova geração de mensagens é mais rebuscada, mais difícil de detectar!

Essa semana, recebi quatro mensagens falsas, três da TAM e uma da Cielo (máquinas de cartões de crédito). Vou reproduzi-las a seguir, apontando os detalhes que servem como indícios (destacados nas reproduções das mensagens).

Primeira mensagem (TAM)

A primeira mensagem trouxe poucos erros de português e seguiu o padrão da maioria das mensagens de propaganda atualmente, usando imagens, e trazendo inclusive a instrução Se você não conseguir visualizar esta mensagem, Clique aqui! antes da imagem:

De: TAM FIDELIDADE <atendimento[@]tam[.]com[.]br>
Para: Recipients <atendimento[@]tam[.]com[.]br>
Assunto: Cadastre-se na Promocao Milhas de Viagens TAM Fidelidade

  

Observei as áreas em destaque

Devem chamar a atenção:

• o remetente em letras maiúsculas;
• o endereço do destinatário (normalmente é um endereço no padrão “noreply@...“);
• o assunto escrito errado (promoção sem cedilha ou acento);
• a instrução no corpo da mensagem, continha uma letra maiúscula no meio da frase (Clique aqui);
• os cantos da imagem presente no e-mail, fora de padrão;
• o link presente no e-mail apontava para o domínio milha21.com, diferente dos domínios da TAM; e
• os campos solicitando endereço e senha do e-mail.

Se você só desconfiou quando viu o campo solicitando endereço e senha do e-mail, arriscou-se demais! É interessante observar que os dados completos do cabeçalho do e-mail traziam o seguinte aviso: domain of tam.com.br does not designate 210.14.81.209 as permitted sender, confirmando que endereço do remetente era falsificado. Aliás, o endereço IP localiza-se fora do Brasil…

Segunda mensagem (TAM)

Esta mensagem, também trouxe a instrução comum em mensagens gráficas, orientando o destinatário a clicar seguir um determinado link caso não visse a mensagem corretamente:

De: "promocao[@]tam[.]com[.]br" <promocao[@]tam[.]com[.]br>
Para: promocao[@]tam[.]com[.]br
Assunto: MEGA PROMO TAM FIDELIDADE: Inscreva-se e obtenha 100 Mil Pontos!

Observei as áreas em destaque

Devem chamar a atenção:

• o remetente exibindo o endereço diretamente;
• o endereço do destinatário (normalmente é um endereço no padrão “noreply@...“);
• o assunto escrito em maiúsculas;
• o botão de cadastramento que parece ter sido “colado” na mensagem;
• a formatação do texto na imagem (espaçamento ruim, texto com visualização ruim, etc.);
• os erros de português, especialmente concordância, existentes na mensagem; e
• os links apontando para um endereço IP (http://208.64.128.20/images/tam2.html – também fora do Brasil).

Os dados completos do cabeçalho do e-mail também traziam o aviso: domain of tam.com.br does not designate 74.220.193.181 as permitted sender, confirmando que endereço do remetente era falsificado. Mais uma vez, o endereço IP localiza-se fora do Brasil…

Terceira mensagem (TAM)

Desta vez, a mensagem não trouxe a costumeira instrução para visualização. Em compensação, disfarçou-se como uma mensagem que respeitava o direito do usuário de evitar spam.

De: TAM <starairlines[@]tam[.]com[.]br>
Assunto: promoção Milhas de Viagens TAM Fidelidade.

Observei as áreas em destaque

Devem chamar a atenção:

• o assunto iniciando com letra minúscula;
• alguns erros de português, começando com o acento em Ola Cliente;
• algumas contradições, por exemplo, saúda o destinatário como “cliente fidelidade”, para pouco depois supor que ele não cliente fidelidade; e
• os links apontando para o domínio elvinsantiago.com, diferente dos domínios da TAM.

Mais uma vez, os dados completos do cabeçalho do e-mail traziam o aviso: domain of cl-t229-141cl.privatedns.com does not designate permitted sender hosts, confirmando que endereço do remetente era falsificado. Dessa vez, a mensagem nem se referia ao domínio da TAM…

Quarta mensagem (Cielo)

Desta vez, a mensagem não trouxe a costumeira instrução para visualização nem se disfarçou de uma mensagem que respeitava o direito do usuário de evitar spam.

De: Reveillon 2012 Cielo <comunicado[@]cielo[.]com[.]br>
Assunto: Participe Agora é Gratuito.

Observei as áreas em destaque

Devem chamar a atenção:

• o assunto contendo letra minúscula no meio da frase;
• alguns erros de português, como frases começando com letra minúscula;
• alguns detalhes estranhos, como o sorteio em “15 de outubro” (de que ano?);
• o link aponta para o endereço de um encurtador de domínio (zip.net); e
• o endereço real aponta para o domínio vemcadastrar.com, não relacionado com a Cielo.

Os dados completos do cabeçalho do e-mail informavam o endereço de retorno como trampatam07[@]trampatam07[.]vpslink[.]com, não relacionado com a Cielo ou com a própria promoção. Além disso, mais uma vez trazia o aviso de domínio não permitido: domain of trampatam07.vpslink.com does not designate permitted sender hosts. Outra vez, um domínio completamente diferente do verdadeiro…

É chato encerrar o ano com uma mensagem dessas, mas alguém precisa fazê-lo… Independentemente disso, um feliz 2012!

Atualização: Por alguma razão, a parte final do post (relativa ao suposto e-mail da Cielo), não saiu originalmente. Peço desculpas, já está corrigido.

Como de costume, a tragédia ocorrida na Escola Municipal Tasso da Silveira, no último dia 7, está sendo explorada de todas as formas, especialmente pela mídia.

Acontece que, ao contrário da mídia, que pelo menos tem a justificativa de informar as pessoas, certas coisas não têm desculpa: menos de uma semana depois do massacre, já circula na internet uma mensagem que supostamente divulga uma carta deixada pelo atirador. Na verdade, ela traz o link para um arquivo que contamina a máquina do internauta.

Que os golpistas não costumam ter ética, não é novidade, basta ver como se aproveitaram dos desastres dos vôos Gol 1907 e do TAM 3054. Mas um e-mail que tenta contaminar as máquinas de internautas explorando a trágica morte de doze crianças em sala de aula, ocorrida há poucos dias, é o cúmulo!

Mas, voltando ao assunto, reproduzo o e-mail como aviso para os “incautos”:

Remetente: <globo@mail.com>
Assunto: Carta deixada por atirador divulgada
Conteúdo do e-mail:

Prestando atenção, é fácil concluir que se trata de um e-mail falso:

1. não foi solicitado o envio de e-mails ao suposto remetente (Globo.com);
2. logo na primeira linha há uma estranha referência a Ivete Sangalo;
3. no texto após as fotos, há vários erros de formatação e de pontuação;
4. o e-mail está mal formatado, incomum em e-mails institucionais, que prezam a apresentação; e
5. o link “VEJA AQUI” leva a um arquivo executável (.EXE) para download.

Enviei o arquivo executável para o serviço VirusTotal e 15 antivírus o identificaram como uma ameaça (malware):

Cuidado com os cliques! Afinal, como diz o ditado: a curiosidade matou o gato…

A botnet ZeuS, depois de contaminar milhares de máquinas ao redor do planeta, inovou mais uma vez: as máquinas contaminadas estão exibindo telas falsas da Visa e da Mastercard para capturar dados sigilosos dos usuários.

O Verified by Visa e o Mastercard SecureCode são programas legítimos, criados pelas operadoras para aumentar a segurança dos seus clientes nas transações comerciais eletrônicas. Eles solicitam aos usuários algumas informações extras como medida de segurança adicional.

O problema é que o botnet ZeuS, controlado remotamente por criminosos, aguarda até que a vítima acesse um banco ou instituição financeira na lista dos alvos e utiliza várias técnicas para roubar credenciais ou executar transferências bancárias não autorizadas. Na maioria das vezes, ele exibe uma falsa tela de inscrição nos programas da Visa e da Mastercard, solicitando aos usuários que informem suas senhas ou outras informações sigilosas como números de cartões de crédito e de débito e data de vencimento, entre outros, segundo a empresa de segurança Trusteer.

No momento, a principal característica das telas falsas é estarem em inglês. Mas, considerando que, segundo a VeriSign, os internautas brasileiros não conseguem identificar um golpe virtual, não deve demorar muito até surgirem versões em nosso idioma.

Em uma pesquisa recente, a VeriSign montou um site e pediu a internautas que identificassem qual das imagens de dois web sites, mostradas lado a lado, representava um site falso. A empresa concluiu que a maioria dos internautas corre o risco de sofrer fraudes on-line por não ser capaz de identificar as diferentes formas golpes virtuais. Por exemplo:

• 73% das pessoas não conseguiram identificar erros ortográficos que denunciariam a fraude;
• 54% das pessoas não observaram a inexistência do símbolo do cadeado na barra de endereço do navegador;
• 36% das pessoas concordaram a dar informações adicionais sigilosas sobre suas contas; e
• 33% das pessoas não foram capazes de perceber um nome de domínio alterado de forma suspeita.

Sendo o IDG Now!, a pesquisa também se aplica ao internauta brasileiro. Quer testar se você seria enganado? Acesse o site criado para a pesquisa, Phish or No Phish, um exercício interessante. O teste é promoção do VeriSign^® Extended Validation (EV), um produto de segurança da VeriSign que, ao confirmar a autenticidade do site, deixa verde a barra de endereços, como no exemplo abaixo:

versão mais atualizada do seu navegador predileto.

A seguir, alguns dos navegadores compatíveis:

• Microsoft Internet Explorer 8 (ou superior);
• Mozilla Firefox 3 (ou superior);
• Opera 9.5 (ou superior);
• Apple Safari 3.2 (ou superior);
• Google Chrome; ou
• Flock.

Os phishing scams tornaram-se uma praga já há algum tempo. Eu mesmo venho tratando sobre eles aqui há pelo menos 3 anos! Avisei quando se aproveitaram de acidentes de avião, quando fingiram analisar arquivos em antivírus e quando seqüestraram arquivos.

Uma vez, recomendei uma análise para auxiliar em sua detecção. Infelizmente, o blog neto cury foi descontinuado e substituído por outro e a página não está mais disponível.

Pelo menos, há outras fonte muito úteis:

• Indícios de phishing scam, no InfoAux;
• Phishing Scam – A fraude inunda o correio eletrônico, no Márcio d’Ávila web site; e
• Como não ser fisgado com um Phishing Scam (para leigos), Gardenal com Fanta Uva.

Só não sei por quanto tempo…

O problema é que recebi um e-mail, supostamente da TAM, informando-me de uma promoção em que os titulares de cartões fidelidade teriam direito a uma passagem de ida e volta para um destino dentro do país durante os meses de dezembro e janeiro. Ora, considerando que, em época de férias, pouca gente viaja sozinha, seria interessante uma promoção dessas: dar a passagem do titular de graça para que ele pagasse pelas passagens dos acompanhantes (cônjuge e filhos).

Portanto, a informação, apesar de surpreendente, não era improvável. Para piorar, não tinha apresentação descuidada (era até bem arrumadinho), não apresentava erros de redação gritantes e não era impessoal (veio em meu nome!).

Olhando com mais calma, notei que o remetente <bonusfidelidade@tam.com.br> e o domínio do endereço em que eu deveria clicar <tamviagensweb.com.br>, apesar de aparentarem ser corretos, divergiam dos legítimos (respectivamente <interativo@tam.com.br> e <tamviagens.com.br>).

A boa formatação, a aparente ausência de erros de português e mensagem personalizada quase me enganaram! Ao clicar no endereço para “mais detalhes”, o internauta era redirecionado para o download de um arquivo executável disfarçado de arquivo do Microsoft Word.

Seguem uma reprodução do e-mail e o resultado da análise do arquivo pelo excelente serviço VirusTotal:

Já enviei uma mensagem à TAM e ao Catálogo de Fraudes do CAIS avisando-os do ocorrido.

Espero que tenha sido apenas um mutante e não o primeiro de uma nova espécie!

Cautela e canja de galinha não fazem mal a ninguém, diz o adágio. Orientações sobre segurança são sempre bem-vindas. Contudo, na minha opinião, certos maus costumes estão tão arraigados que passam despercebidos pela maioria de nós e escapam às boas intenções, nossas e dos elaboradores de cartilhas. Alguns desses costumes, como desobedecer ou ignorar regras, são bem antigos. Outros são mais recentes, como deixar as crianças à mercê de “babás eletrônicas”: antes a televisão, hoje o computador e a internet.

Recebi uma cartilha, muito bem feita, que se dispõe a dar orientação aos pais e crianças sobre o bom uso da internet, com dicas e soluções para um acesso consciente e seguro. É uma cartilha curta, com orientações simples e rápidas para pais que se preocupam com a segurança de seus filhos na internet. Traz ainda uma história em quadrinhos com uma lição muito boa sobre violência e discriminação na rede. O problema é com a mensagem implícita na historinha…

Os protagonistas são dois meninos que têm perfis no orkut. O problema é que o Estatuto da Comunidade informa que:

Apenas pessoas com idade a partir de 18 anos podem usar o orkut. Se encontrarmos qualquer evidência de que um usuário é menor de 18 anos, tal perfil estará correndo risco de ser removido.

Sem entrar no mérito das razões que levaram o Google a adotar essa idade mínima, a restrição existe e burlá-la é mentir, é errado. Sei que:

• há pais que não se importam se seus filhos preenchem os formulários com informações falsas (e depois se perguntam por que esses mesmos filhos mentem para eles);
• há centenas (milhares?) de menores com perfis contendo uma data de nascimento falsa; e
• enfiar a cabeça na areia e ignorar o problema é bobagem.

Mas creio que, se é para reconhecer essa situação, o certo seria enfrentar o problema e tentar convencer os pais que considerar “normal” seus filhos terem perfis no orkut é fornecer dados errados, é mentir. Talvez até seja enquadrado como crime de falsidade ideológica (advogados de plantão, ajudem-me, por favor). E eu ouvi falar de pais que criam um perfil para o filho recém-nascido porque acham “bonitinho”!

Considero que quem ensina não pode se colocar na delicada posição de “concordar” com algo errado. Se tenho que me dirigir a pessoas que fazem algo sabidamente errado, preciso salientar, em algum momento, que aquilo é errado.

Como acho que a cartilha foi feita com boas intenções, encaminhei uma mensagem à ABCID (Associação Brasileira de Centros de Inclusão Digital), responsável pela edição, e outra ao CDI-PR (Comitê para Democratização da Informática do Paraná), responsável por uma outra cartilha excelente, de onde foi retirada a historinha.

E você? Já pensou sobre o assunto?

Atualização: A mensagem que enviei para o CDI-PR retornou com erro, mas recebi uma resposta positiva da ABCID (apesar da grafia incorreta no meu nome :wink:):

Ok José Luiz,
levarei sua consideração ao conselho de produção
obrigado pelo retorno
Abs
[...]
www.abcid.com.br

Na época, não achei nada. Mas ontem, ao preparar uma prova final de Informática Básica, peguei um Jumpdrive de 1GB antigo que estava “encostado” e encontrei, no diretório raiz, os arquivos abaixo:

• autorun.bat;
• autorun.bin;
• autorun.inf;
• autorun.reg;
• autorun.txt;
• autorun.vbs; e
• autorun.wsh.

Todos com data de agosto de 2007, certamente a última vez que usei aquele pendrive. Como não uso máquinas Windows em casa, não fiquei preocupado mas, por via das dúvidas, passei o avast! 4 Linux Home Edition: limpo!

Tranqüilidade é outra coisa…

Já os malfeitores…

Vi, no Meio Bit, a declaração de um dos editores que um parente seu havia sido vítima de uma fraude: dinheiro foi transferido de sua conta. Os dados de acesso haviam sido capturados por um malware que se instalara na máquina por meio de um pendrive usado na faculdade.

Por melhor que sejam seu antivírus e seu firewall, a melhor ferramenta de proteção ainda é o cérebro: carregou arquivos, pode ser pendrive ou e-mail, passe o antivírus!

Atualização: Acrescentada recomendação para passar antivírus (ver sugestão de José Rosa).

Como ocorreu com o vôo GOL 1907, as equipes ainda não terminaram de recuperar os corpos do vôo TAM 3054, e o IDG Now! já avisou de um golpe sobre o acidente, mensagens falsas com um link para um suposto vídeo do acidente que é, na verdade, um cavalo-de-tróia (trojan horse).

Continuo muito atarefado. Por isso, fica só o aviso: cuidado com as mensagens de e-mail!

Fonte: Meio Bit.

Atualização: Aviso do CAIS sobre as mensagens falsas relacionadas ao acidente da TAM.

• Os scammers caras-de-pau
• Outro scam sobre o Gol 1907
• Scam – Vôo Gol 1907

Isso sem falar em outros posts sobre segurança em geral:

• Home banking: três testes práticos
• Sequestramos seus arquivos!
• Introdução aos malwares
• CAIS: Alerta
• Iniciativa “Navegue protegido”
• Trojan em scraps no orkut!

Bem… Demorei, já era.

Descobri, no Neto Cury Blog, uma boa “dissecação” de um scam!

Vale a pena ler.

Também já são relativamente comuns e-mails, com aparência de avisos de companhias de segurança legítimas, solicitando que o usuário baixe um determinado arquivo para se proteger. Nessa hora, ocorre a contaminação.

Pois, agora surgiu uma nova versão: um e-mail que traz, no corpo da mensagem, um aviso que o anexo não tem vírus. Acontece que o tal anexo está contaminado!

Observe na mensagem abaixo: Paes.scr: Nao Tem Virus!

Fiquem de olho!

Atualização: Corrigi alguns erros de ortografia e concordância (preciso parar de escrever de madrugada ).

Tem, inclusive, um tutorial curto sobre segurança.

Clique aqui. Vale a pena!

Aproveitando que o assunto ainda está na mídia, a mensagem tenta levar o internauta curioso a visitar um site com supostas fotos do avião. Ao fazer isso, o internauta acaba se contaminando com um keylogger. Veja uma foto do e-mail malicioso:

Para maiores detalhes (e algumas dicas para identificar mensagens falsas), clique aqui.

A maldade humana(?) nunca deixa de me supreender!