
Hoje é o último dia do ano, estou me preparando para o réveillon e preferia não publicar nada mais sério do que uma bonita mensagem de feliz ano-novo. Infelizmente, parece que scammers não descansam… E não deixam ninguém descansar!
Recentemente, tem havido um aumento no número de mensagens de phishing. Muitas são as costumeiras mensagens de instituições bancárias mas, creio eu, a maioria das pessoas aprendeu a ignorá-las.
A novidade agora são falsas mensagens de programas de fidelidade, de milhas aéreas a cartões de crédito… Pelo menos desde 2004 malfeitores tentam roubar milhas aéreas por e-mail aqui no Brasil. Mas essa nova geração de mensagens é mais rebuscada, mais difícil de detectar!
Essa semana, recebi quatro mensagens falsas, três da TAM e uma da Cielo (máquinas de cartões de crédito). Vou reproduzi-las a seguir, apontando os detalhes que servem como indícios (destacados nas reproduções das mensagens).
Primeira mensagem (TAM)
A primeira mensagem trouxe poucos erros de português e seguiu o padrão da maioria das mensagens de propaganda atualmente, usando imagens, e trazendo inclusive a instrução Se você não conseguir visualizar esta mensagem, Clique aqui!
antes da imagem:
De: TAM FIDELIDADE <atendimento[@]tam[.]com[.]br>
Para: Recipients <atendimento[@]tam[.]com[.]br>
Assunto: Cadastre-se na Promocao Milhas de Viagens TAM Fidelidade
Devem chamar a atenção:
- o remetente em letras maiúsculas;
- o endereço do destinatário (normalmente é um endereço no padrão “
noreply@...
“); - o assunto escrito errado (promoção sem cedilha ou acento);
- a instrução no corpo da mensagem, continha uma letra maiúscula no meio da frase (
Clique aqui
); - os cantos da imagem presente no e-mail, fora de padrão;
- o link presente no e-mail apontava para o domínio
milha21.com
, diferente dos domínios da TAM; e - os campos solicitando endereço e senha do e-mail.
Se você só desconfiou quando viu o campo solicitando endereço e senha do e-mail, arriscou-se demais! É interessante observar que os dados completos do cabeçalho do e-mail traziam o seguinte aviso: domain of tam.com.br does not designate 210.14.81.209 as permitted sender
, confirmando que endereço do remetente era falsificado. Aliás, o endereço IP localiza-se fora do Brasil…
Segunda mensagem (TAM)
Esta mensagem, também trouxe a instrução comum em mensagens gráficas, orientando o destinatário a clicar seguir um determinado link caso não visse a mensagem corretamente:
De: "promocao[@]tam[.]com[.]br" <promocao[@]tam[.]com[.]br>
Para: promocao[@]tam[.]com[.]br
Assunto: MEGA PROMO TAM FIDELIDADE: Inscreva-se e obtenha 100 Mil Pontos!
Devem chamar a atenção:
- o remetente exibindo o endereço diretamente;
- o endereço do destinatário (normalmente é um endereço no padrão “
noreply@...
“); - o assunto escrito em maiúsculas;
- o botão de cadastramento que parece ter sido “colado” na mensagem;
- a formatação do texto na imagem (espaçamento ruim, texto com visualização ruim, etc.);
- os erros de português, especialmente concordância, existentes na mensagem; e
- os links apontando para um endereço IP (
208.64.128.20/images/tam2.html
– também fora do Brasil).
Os dados completos do cabeçalho do e-mail também traziam o aviso: domain of tam.com.br does not designate 74.220.193.181 as permitted sender
, confirmando que endereço do remetente era falsificado. Mais uma vez, o endereço IP localiza-se fora do Brasil…
Terceira mensagem (TAM)
Desta vez, a mensagem não trouxe a costumeira instrução para visualização. Em compensação, disfarçou-se como uma mensagem que respeitava o direito do usuário de evitar spam.
De: TAM <starairlines[@]tam[.]com[.]br>
Assunto: promoção Milhas de Viagens TAM Fidelidade.
Devem chamar a atenção:
- o assunto iniciando com letra minúscula;
- alguns erros de português, começando com o acento em
Ola Cliente
; - algumas contradições, por exemplo, saúda o destinatário como “cliente fidelidade”, para pouco depois supor que ele não cliente fidelidade; e
- os links apontando para o domínio
elvinsantiago.com
, diferente dos domínios da TAM.
Mais uma vez, os dados completos do cabeçalho do e-mail traziam o aviso: domain of cl-t229-141cl.privatedns.com does not designate permitted sender hosts
, confirmando que endereço do remetente era falsificado. Dessa vez, a mensagem nem se referia ao domínio da TAM…
Quarta mensagem (Cielo)
Desta vez, a mensagem não trouxe a costumeira instrução para visualização nem se disfarçou de uma mensagem que respeitava o direito do usuário de evitar spam.
De: Reveillon 2012 Cielo <comunicado[@]cielo[.]com[.]br>
Assunto: Participe Agora é Gratuito.
Devem chamar a atenção:
- o assunto contendo letra minúscula no meio da frase;
- alguns erros de português, como frases começando
com letra minúscula; - alguns detalhes estranhos, como o sorteio em “15 de outubro” (de que ano?);
- o link aponta para o endereço de um encurtador de domínio (
zip.net
); e - o endereço real aponta para o domínio
vemcadastrar.com
, não relacionado com a Cielo.
Os dados completos do cabeçalho do e-mail informavam o endereço de retorno como trampatam07[@]trampatam07[.]vpslink[.]com
, não relacionado com a Cielo ou com a própria promoção. Além disso, mais uma vez trazia o aviso de domínio não permitido: domain of trampatam07.vpslink.com does not designate permitted sender hosts
. Outra vez, um domínio completamente diferente do verdadeiro…
É chato encerrar o ano com uma mensagem dessas, mas alguém precisa fazê-lo… Independentemente disso, um feliz 2012!
Atualização: Por alguma razão, a parte final do artigo (relativa ao suposto e-mail da Cielo), não saiu originalmente. Peço desculpas, já está corrigido.
Copyright © 2006-2021 jlcarneiro.com.
Todas as mensagens da TAM eu recebi, a da Cielo não (ainda).
Ano novo, velhas práticas, velhos bobos.
O princípio do phishing (que é o mesmo da Engenharia Social)?
A ingenuidade humana e o famoso ‘olho grande’ que existe desde priscas eras.
abs,
José Rosa.