Hoje é o último dia do ano, estou me preparando para o réveillon e preferia não publicar nada mais sério do que uma bonita mensagem de feliz ano-novo. Infelizmente, parece que scammers não descansam… E não deixam ninguém descansar!

Recentemente, tem havido um aumento no número de mensagens de phishing. Muitas são as costumeiras mensagens de instituições bancárias mas, creio eu, a maioria das pessoas aprendeu a ignorá-las.

A novidade agora são falsas mensagens de programas de fidelidade, de milhas aéreas a cartões de crédito… Pelo menos desde 2004 malfeitores tentam roubar milhas aéreas por e-mail aqui no Brasil. Mas essa nova geração de mensagens é mais rebuscada, mais difícil de detectar!

Essa semana, recebi quatro mensagens falsas, três da TAM e uma da Cielo (máquinas de cartões de crédito). Vou reproduzi-las a seguir, apontando os detalhes que servem como indícios (destacados nas reproduções das mensagens).

Primeira mensagem (TAM)

A primeira mensagem trouxe poucos erros de português e seguiu o padrão da maioria das mensagens de propaganda atualmente, usando imagens, e trazendo inclusive a instrução Se você não conseguir visualizar esta mensagem, Clique aqui! antes da imagem:

De: TAM FIDELIDADE <atendimento[@]tam[.]com[.]br>
Para: Recipients <atendimento[@]tam[.]com[.]br>
Assunto: Cadastre-se na Promocao Milhas de Viagens TAM Fidelidade

Devem chamar a atenção:

• o remetente em letras maiúsculas;
• o endereço do destinatário (normalmente é um endereço no padrão “noreply@...“);
• o assunto escrito errado (promoção sem cedilha ou acento);
• a instrução no corpo da mensagem, continha uma letra maiúscula no meio da frase (Clique aqui);
• os cantos da imagem presente no e-mail, fora de padrão;
• o link presente no e-mail apontava para o domínio milha21.com, diferente dos domínios da TAM; e
• os campos solicitando endereço e senha do e-mail.

Se você só desconfiou quando viu o campo solicitando endereço e senha do e-mail, arriscou-se demais! É interessante observar que os dados completos do cabeçalho do e-mail traziam o seguinte aviso: domain of tam.com.br does not designate 210.14.81.209 as permitted sender, confirmando que endereço do remetente era falsificado. Aliás, o endereço IP localiza-se fora do Brasil…

Segunda mensagem (TAM)

Esta mensagem, também trouxe a instrução comum em mensagens gráficas, orientando o destinatário a clicar seguir um determinado link caso não visse a mensagem corretamente:

De: "promocao[@]tam[.]com[.]br" <promocao[@]tam[.]com[.]br>
Para: promocao[@]tam[.]com[.]br
Assunto: MEGA PROMO TAM FIDELIDADE: Inscreva-se e obtenha 100 Mil Pontos!

Devem chamar a atenção:

• o remetente exibindo o endereço diretamente;
• o endereço do destinatário (normalmente é um endereço no padrão “noreply@...“);
• o assunto escrito em maiúsculas;
• o botão de cadastramento que parece ter sido “colado” na mensagem;
• a formatação do texto na imagem (espaçamento ruim, texto com visualização ruim, etc.);
• os erros de português, especialmente concordância, existentes na mensagem; e
• os links apontando para um endereço IP (208.64.128.20/images/tam2.html – também fora do Brasil).

Os dados completos do cabeçalho do e-mail também traziam o aviso: domain of tam.com.br does not designate 74.220.193.181 as permitted sender, confirmando que endereço do remetente era falsificado. Mais uma vez, o endereço IP localiza-se fora do Brasil…

Terceira mensagem (TAM)

Desta vez, a mensagem não trouxe a costumeira instrução para visualização. Em compensação, disfarçou-se como uma mensagem que respeitava o direito do usuário de evitar spam.

De: TAM <starairlines[@]tam[.]com[.]br>
Assunto: promoção Milhas de Viagens TAM Fidelidade.

Devem chamar a atenção:

• o assunto iniciando com letra minúscula;
• alguns erros de português, começando com o acento em Ola Cliente;
• algumas contradições, por exemplo, saúda o destinatário como “cliente fidelidade”, para pouco depois supor que ele não cliente fidelidade; e
• os links apontando para o domínio elvinsantiago.com, diferente dos domínios da TAM.

Mais uma vez, os dados completos do cabeçalho do e-mail traziam o aviso: domain of cl-t229-141cl.privatedns.com does not designate permitted sender hosts, confirmando que endereço do remetente era falsificado. Dessa vez, a mensagem nem se referia ao domínio da TAM…

Quarta mensagem (Cielo)

Desta vez, a mensagem não trouxe a costumeira instrução para visualização nem se disfarçou de uma mensagem que respeitava o direito do usuário de evitar spam.

De: Reveillon 2012 Cielo <comunicado[@]cielo[.]com[.]br>
Assunto: Participe Agora é Gratuito.

Devem chamar a atenção:

• o assunto contendo letra minúscula no meio da frase;
• alguns erros de português, como frases começando
  com letra minúscula;
• alguns detalhes estranhos, como o sorteio em “15 de outubro” (de que ano?);
• o link aponta para o endereço de um encurtador de domínio (zip.net); e
• o endereço real aponta para o domínio vemcadastrar.com, não relacionado com a Cielo.

Os dados completos do cabeçalho do e-mail informavam o endereço de retorno como trampatam07[@]trampatam07[.]vpslink[.]com, não relacionado com a Cielo ou com a própria promoção. Além disso, mais uma vez trazia o aviso de domínio não permitido: domain of trampatam07.vpslink.com does not designate permitted sender hosts. Outra vez, um domínio completamente diferente do verdadeiro…

É chato encerrar o ano com uma mensagem dessas, mas alguém precisa fazê-lo… Independentemente disso, um feliz 2012!

Atualização: Por alguma razão, a parte final do artigo (relativa ao suposto e-mail da Cielo), não saiu originalmente. Peço desculpas, já está corrigido.