Dom 6 Ago 2006
Os indícios de fraude por e-mail sempre estão presentes. Reiterando as características que citei em meu artigo de alguns dias atrás, veja mais um exemplo recente.
A mensagem diz ser do serviço “OCarteiro.com”, mas ao pousar o mouse sobre o link e observar o real endereço de destino, novamente os indícios de fraude ficam óbvios.
mensagem1288.exe: o link é para o download de um programa Windows (EXE), e não uma página de cartãoo virtual. Em geral, nenhum conteúdo “saudável” na Internet costuma ser distribuído como executável.www.40drinks.net: este domínio de destino não tem nada a ver com OCarteiro.com.- O próprio texto da fraude indicava que o link seria para
http://ocarteiro.com.br/lercartao.php?id=…, portanto não se parece nem um pouco com seu real destino. Além disso, o link exibido no texto apresenta um número de identificação para o cartão (59554A46821571) e logo adiante no texto é apresentado outro (1902667279A7383). - Outra característica comum em fraudes: o nome do remetente contém o assunto da mensagem, ao invés de conter um nome como se esperaria. Deve ser porque quem constrói essas fraudes sequer sabe a diferença entre “Subject” (Assunto) e “From” (Remetente) de um e-mail.
Detalhe: na fraude, está exibido um banner de publicidade que diz: “Proteja seu PC [computador] de intrusos, curiosos e invasores”. Será coincidência ou ironia?
E se apesar de tudo a pessoa ainda é trouxa o bastante para resolver clicar no link, olhe só o que o navegador Internet Explorer 6, por exemplo, alertaria:
Download de Arquivo - Aviso de Segurança
(…) Este tipo de arquivo [executável] pode danificar seu computador. Se você não confiar em sua origem, não execute nem salve este software.
Note que a opção sugerida, portanto, é “Cancelar”. E o link “Qual é o risco?” ainda apresenta informações adicionais úteis, na Ajuda do Windows. Assim, não é por falta de aviso e informação que alguém vai dizer que deixou o programa nocivo entrar.
Por fim, utilizei o excelente serviço gratuito Virus Total para analisar o arquivo mensagem1288.exe simultaneamente em 27 sistemas antivírus atuais. Pelo menos 5 deles identificaram o arquivo como um malware (programa maléfico), do tipo spyware (programa espião), mais especificamente um típico keylogger (gravador de digitação) que visa roubar senhas de bancos brasileiros digitadas em páginas de Internet Banking.
Embora isso indique que ainda são poucos os antivírus que conseguem identificar prontamente as dezenas de variantes de spyware que surgem a cada dia (neste caso, 5 em 27, menos de 20%), mostra que ter um antivírus sempre atualizado ainda representa esperança de proteção.
Os antivírus tradicionalmente são preparados para — como o próprio nome diz — combater vírus e vermes; e em geral são muito eficientes contra estes inimigos. Spywares e Keyloggers, porém, são uma categoria diferente de programas nocivos, que tiveram sua incidência intensificada nos últimos tempos. Os antivírus estão adaptando seus mecanismos para serem eficientes também contra este tipo de mal.
Enviar por e-mail. Hits para esta publicação: 313.
Agosto 7th, 2006 at 00:45
[…] Ontem eu analisei um programa de fraude no serviço Virus Total e apenas 5 dos 27 antivírus utilizados (18,5%) tinham detectado o artefato como um programa fraude bancária. 24 horas depois, mais dois antivírus já detectavam a ameça, passando para 26% o índice de antivírus efetivos. Considerando que o arquivo testado aparentemente começou a circular na madrugada de 4 de agosto de 2006 (data to arquivo no endereço web apontado pela fraude) e a data em que os arquivos de dados de cada antivírus foram atualizados pelo serviço VirusTotal, o desempenho dos antivírus está razoável. Veja: […]
Agosto 24th, 2006 at 09:02
[…] Alguns detectam de forma imprecisa as ameaças (*), apresentando para uma ou mais delas vereditos vagos como “suspeito”, “ameaça desconhecida” ou “provável ameaça”. O segundo artefato foi o de detecção mais ampla, identificado por 17 antivírus (em no primeiro dia só 5 identificavam), sendo por sinal aquele reconhecido por 10 dos 11 antivírus que só detectaram uma ameaça. […]