Desde 2004, venho monitorando fraudes que circulam na Internet brasileira.

Desde então, cresce e se multiplica a fraude mais típica no Brasil até agora: Uma mensagem enviada como spam em larga escala, com um assunto fraudulento qualquer que possa convencer e atrair a atenção de parte dos destinatários, para que cliquem em um link que os fará instalar e deixar em execução um programa espião, tipicamente um “roubador” de dados bancários.

Ao longo destes cinco anos coletando e analisando fraudes, eu mantenho o artigo Phishing Scam – A fraude inunda o correio eletrônico, que lista imagens de mais de duzentos exemplos de fraude, organizados por temas.

As fraudes começaram grosseiras. Mas, inevitavelmente como em qualquer área de conhecimento, para o bem ou para o mal, as coisas evoluem. E a fraude evoluiu.

Ontem, recebi a primeira fraude em que vi uma mensagem personalizada, ou seja, onde incluíram o meu nome verdadeiro na mensagem, para aumentar a verossimilhança.

Isso significa que, ao invés do fraudador usar uma base de dados de spam simples de e-mails para enviar a fraude, agora eles estão utilizando uma base de dados de spam com nome e e-mail.

Figura 1: Reprodução da mensagem de fraude recebida.

Indícios

Dos cinco indícios típicos principais que listo para se identificar fraudes, mais um deles foi suplantado: a impessoalidade. Vamos analisar esta mensagem quanto a estes indícios:

  • Apresentação descuidada: NEGATIVO.

    Esta mensagem tem um layout HTML razoável e inclusive utiliza uma imagem de cabeçalho extraída do próprio site real da Gol Linhas Aéreas. Não apresenta erros grosseiros de português. O texto não está acentuado, mas algumas mensagens legítimas também não utilizam acentos (por razões de compatibilidade). Só há pequenos descuidos, que eventualmente poderiam existir em uma mensagem legítima — e que dificilmente um usuário leigo ou pouco observador perceberia — como: os dados da suposta passagem exibem hora, mas não data nem número do voo; não houve tratamento adequado para que a imagem bem larga (970 pixels) não gerasse barra de rolagem (scroll) lateral.
  • Link destino não confiável: POSITIVO.
    Observe na figura o endereço do link de destino na barra de estado: fotosnovidades.net/d2/GOL_TICKET_Marcio.txt. O domínio Fotosnovidades.net não tem nada a ver com a Gol. Mas isso é um detalhe sutil. Infelizmente, muitos usuários clicam em links sem avaliar antes o endereço destino. E já vi outras fraudes que dissimulam esse indício, usando endereços com nomes mais plausíveis.
  • Informação improvável: NEGATIVO.
    O tema, aquisição de passagens de uma das principais empresas aéreas brasileiras, é perfeitamente plausível a milhares de brasileiros que podem ter recebido a fraude. Além do mais, mesmo uma pessoa que nunca viajou de avião pode ser atraído pela mensagem temendo estar sendo vítima de um roubo de identidade e/ou de uso indevido de seus dados na suposta aquisição de passagem aérea.
  • Impessoalidade: NEGATIVO.
    A atual evolução. A fraude usou uma base de dados de spam mais “apurada”, que contém não só e-mails, mas os respectivos nomes das pessoas, enviando mensagens pessoais e individualizadas. Assim, a fraude utilizou o meu nome verdadeiro.
  • Remetente suspeito: NEGATIVO.
    Esse infelizmente é fácil de fraudar. Assim como em uma carta em papel qualquer um pode escrever o que quiser como remetente, é possível forjar nome e endereço eletrônico do remetente no cabeçalho “De” (From) da mensagem de e-mail. Esta fraude identificou o remetente como "SAC GOL" <noreply@voegol.com.br>, que aparenta ser originado da Gol. Um técnico que inspecione o cabeçalho completo no código-fonte da mensagem pode identificar um servidor SMTP de onde a mensagem partiu suspeito. Mas essa informação é bastante técnica, de difícil compreensão ou análise por um leigo e não é exibida na visualização básica de mensagens.

Ou seja, o único indício de fraude foi o endereço de destino suspeito do link, e mesmo assim esse eventualmente poderia não ser observado ou poderia ter sido dissimulado.

Malware

Neste caso, o endereço de destino levava ao download do malware que meu antivírus (Kaspersky Internet Security 2009) identificou como o programa cavalo-de-tróia espião Trojan-Downloader.Win32.Agent.byij.

Contudo, a detecção dos programas maléficos pelos antivírus depende de uma amostra desse programa ser interceptada na Internet, identificada pelos centro de análise do fornecedor do antivírus e a devida atualização da base de dados do antivírus ser distribuída aos usuários. Isso pode levar alguns ou até muitos dias para ocorrer para cada empresa de antivírus e, até lá, os usuários estão desprotegidos por parte dos antivírus ou outros utilitários antimalware.

Além disso, cientes dessa sistemática, os fraudadores em geral alteram frequentemente o programa espião utilizado na fraude, para dificultar a detecção. Em palavras mais simples, os antivírus e programas de proteção se baseiam em uma “lista de programas malfeitores procurados”; quando o programa malware utilizado na fraude não está na lista do antivírus, ele não é detectado como malfeitor. A situação é ainda mais grave para quem não usa um bom antivírus ou não o mantém constantemente atualizado.

Figura 2: Malware apontado pelo link malicioso, nesta caso detectado pelo antivírus.

Quando submeti o programa malware para análise pelo excelente serviço gratuito VirusTotal.com, ele informou que este arquivo já havia sido analisado (outra pessoa o submeteu antes).

Talvez por isso — já que o VirusTotal.com notifica as empresas antivírus participantes do serviço sobre malwares detectados por algum dos programas — a taxa de identificação do malware tenha sido razoavelmente alta neste caso, em que foi detectado por 27 dos 39 programas antivírus testados (quase 70% deles, portanto).

Conclusão

Portanto, a lei e a segurança evoluem, o crime também. A única arma que sempre continua valendo para o usuário que quer se prevenir nessa guerra é a prática de cautela, atenção, cuidado e desconfiança constantes.