Relato aqui mais uma fraude eletrônica que observei hoje, e destaco os pontos importantes.
A mensagem de fraude é esta:
[photopress:fraude_diners.png,full,centered]
Assunto: Parabéns! Seu Diners foi sorteado para participar da promoção Presente Toda Hora.
Remetente (alegado): [email protected]
Imagem da mensagem hospedada em: http://lh3.ggpht.com/…/dinersdef32x.jpg
Link de destino apontado pela mensagem: http://www.redirecionadiners.com/www.diners.com.br.php
Link leva ao download de um executável Windows: Diners.exe
Como reconhecer que se trata de uma fraude do tipo “pesca trouxas” (phishing scam):
- Tema suspeito. Faça a si mesmo perguntas como as seguintes: Você possui esse cartão? Inscreveu-se em alguma promoção? Forneceu e autorizou este endereço de e-mail a receber notificações? Existe mesmo essa promoção, e consta divulgada no site oficial do cartão? Fui sorteado, não está fácil demais? Lembre-se do ditado: “Quando a esmola é grande, o santo desconfia.”
- Remetente suspeito (embora isso pudesse ser forjado). Por que o domínio “open.art.br”? Por que não um endereço do domínio do site oficial do cartão?
- Link de destino suspeito, embora pareça verossímil a um leigo.
- E o principal: Ao invés de levar a uma página de informações, ou cadastro, leva ao download de um executável. Desde quando uma promoção via internet vai exigir instalar e/ou executar um programa em seu computador, para o cadastro? Por que não apenas levar a uma página web de adesão, de preferência no site oficial do cartão? Downloads, ainda mais de arquivos executáveis (programas), são SEMPRE suspeitos até que se prove em contrário.
Aí o preguiçoso e crédulo pode pensar: Se é um arquivo executável, então o antivírus deve detectar vírus ou outro código malicioso.
Não é bem assim. Lembre-se que o antivírus em geral é como um “agente de polícia que procura bandidos baseado exclusivamente em uma lista de procurados; se o sujeito não está na lista, não é considerado bandido ou suspeito”. A “lista de procurados” são os dados recebidos nas atualizações do antivírus.
Se o antivírus não estiver recentemente atualizado, ou se o código malicioso ainda é muito recente e “o bandido não foi denunciado, descoberto e fichado pela polícia”, ou seja, ainda não foi detectado e analisado pelo fabricante do antivírus, o malware não constará na lista e o antivírus não detecta!
Esse é exatamente o caso. A fraude é muito recente, e analisei o arquivo executável nos 43 utilitários antivírus do site VirusTotal.com e nenhum deles ainda reconhece como malicioso no momento em que escrevo este artigo.
Veja reprodução do resultado atual da análise:
[photopress:malware_diners_virustotal.png,full,centered]
(PDF do resultado)
A conclusão é a mesma de sempre: Na internet, desconfie sempre, tenha muito cuidado!