Anatomia de uma fraude (2)

Os indícios de fraude por e-mail sempre estão presentes. Reiterando as características que citei em meu artigo de alguns dias atrás, veja mais um exemplo recente.

[photopress:anatomia_scam_02.png,full,centered]

A mensagem diz ser do serviço “OCarteiro.com”, mas ao pousar o mouse sobre o link e observar o real endereço de destino, novamente os indícios de fraude ficam óbvios.

  1. mensagem1288.exe: o link é para o download de um programa Windows (EXE), e não uma página de cartãoo virtual. Em geral, nenhum conteúdo “saudável” na Internet costuma ser distribuído como executável.
  2. www.40drinks.net: este domínio de destino não tem nada a ver com OCarteiro.com.
  3. O próprio texto da fraude indicava que o link seria para http://ocarteiro.com.br/lercartao.php?id=..., portanto não se parece nem um pouco com seu real destino. Além disso, o link exibido no texto apresenta um número de identificação para o cartão (59554A46821571) e logo adiante no texto é apresentado outro (1902667279A7383).
  4. Outra característica comum em fraudes: o nome do remetente contém o assunto da mensagem, ao invés de conter um nome como se esperaria. Deve ser porque quem constrói essas fraudes sequer sabe a diferença entre “Subject” (Assunto) e “From” (Remetente) de um e-mail.

Detalhe: na fraude, está exibido um banner de publicidade que diz: “Proteja seu PC [computador] de intrusos, curiosos e invasores”. Será coincidência ou ironia?

E se apesar de tudo a pessoa ainda é trouxa o bastante para resolver clicar no link, olhe só o que o navegador Internet Explorer 6, por exemplo, alertaria:

[photopress:ie6_download_aviso.png,full,centered]

Download de Arquivo – Aviso de Segurança

(…) Este tipo de arquivo [executável] pode danificar seu computador. Se você não confiar em sua origem, não execute nem salve este software.

Note que a opção sugerida, portanto, é “Cancelar”. E o link “Qual é o risco?” ainda apresenta informações adicionais úteis, na Ajuda do Windows. Assim, não é por falta de aviso e informação que alguém vai dizer que deixou o programa nocivo entrar.

Por fim, utilizei o excelente serviço gratuito Virus Total para analisar o arquivo mensagem1288.exe simultaneamente em 27 sistemas antivírus atuais. Pelo menos 5 deles identificaram o arquivo como um malware (programa maléfico), do tipo spyware (programa espião), mais especificamente um típico keylogger (gravador de digitação) que visa roubar senhas de bancos brasileiros digitadas em páginas de Internet Banking.

Embora isso indique que ainda são poucos os antivírus que conseguem identificar prontamente as dezenas de variantes de spyware que surgem a cada dia (neste caso, 5 em 27, menos de 20%), mostra que ter um antivírus sempre atualizado ainda representa esperança de proteção.

Os antivírus tradicionalmente são preparados para — como o próprio nome diz — combater vírus e vermes; e em geral são muito eficientes contra estes inimigos. Spywares e Keyloggers, porém, são uma categoria diferente de programas nocivos, que tiveram sua incidência intensificada nos últimos tempos. Os antivírus estão adaptando seus mecanismos para serem eficientes também contra este tipo de mal.

2 Replies to “Anatomia de uma fraude (2)”

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *