Anatomia de uma fraude: CitiBank

Dia 24, recebi mais uma fraude tipo phishing scam (pesacaria de otários), dessa vez fingindo ser do banco CitiBank. Vamos à análise e comentários das características de mais essa fraude.

A isca: o e-mail fraudulento

Como toda fraude, a isca básica é enviar uma mensagem fraudulenta de spam (envio em massa) para uma lista não autorizada de milhões de e-mails, com um tema de mentira chamativo, que possa ser inadvertidamente tomado como legítimo e verdadeiro por uma parcela de destinatários incautos.

O princípio de proliferação dessa isca é simples: tentativa em larga escala. Ao enviar uma fraude para, digamos, um milhão de endereços de e-mail, se apenas 0,1% destas mensagens chegarem a alguém desavisado e inocente que acredite na fraude, o fraudador já conseguirá pescar 1.000 (1 mil) otários!

— PERGUNTA: Onde o fraudador consegue essa lista de e-mails? — RESPOSTA: Na internet ou até mesmo em um camelô. Pessoas mal intencionadas podem construir mecanismos de busca especializados em varrer a internet em busca de endereços de e-mail válidos. Essas buscas podem até ter inteligência de categorizar cada e-mail encontrado por temas (através de expressões ou palavras chave existentes no local onde o endereço de e-mail foi encontrado), país ou idioma (do site ou serviço), e até buscar também o nome do indivíduo associado ao endereço de e-mail.

— PERGUNTA: Como posso me proteger, impedindo meu endereço de e-mail ser roubado? — RESPOSTA: Impedir completamente é difícil, mas alguns cuidados básicos podem reduzir imensamente as chances de seu e-mail ser obtido indevidamente. Cito dois:

  1. Antes de fornecer seu e-mail (e nome!) em sites e serviços interativos na internet, como fóruns, blogs, redes sociais, comércio eletrônico etc., procure se informar sobre a idoneidade, seriedade, segurança e proteção de privacidade deste. É um local confiável? O endereço de e-mail seu (ou de qualquer participante/usuário do serviço) fica visível publicamente ou para pessoas desconhecidas? A política de privacidade do serviço garante que seu e-mail não pode ser fornecido a terceiros? Ao se cadastrar, você concordou com a divulgação de seu e-mail a “parceiros” ou qualquer outro terceiro?
  2. Evite reenviar mensagens de e-mail a diversos contatos seus, e se o fizer, coloque o nome dos diversos destinatários no campo cópia-carbono-oculta (CCO ou BCC). Ao reenviar mensagens a outras pessoas, procure apagar do cabeçalho e texto da mensagem original transcrita endereços de e-mail de terceiros. Assim você zela em não revelar indevidamente e-mail dos outros. Oriente seus amigos igualmente a zelar pela privacidade dos outros, pois um dos “outros” pode ser você.

O tema, neste caso, foi o de “Informações financeiras e cadastrais”, um dos seis temas comuns que cito em meu artigo Phishing Scam – A fraude inunda o correio eletrônico.

A fraude finge ser uma “solicitação de atualização de segurança do banco CitiBank Online”. Veja uma imagem reproduzindo a aparência da mensagem fraudulenta:

Agora vamos avaliar os cinco Indícios de phishing scam que também cito no meu referido artigo:

Apresentação descuidada: NÃO. Essa fraude tem uma aparência visual verossímil e um texto sem erros grosseiros de português. Esse indício a fraude evitou.

Link destino não confiável: SIM, mas pode gerar dúvida. Há um link clicável no e-mail, prática que praticamente todos os bancos estão evitando, aponta para um endereço sem segurança (é http comum, e não https, o HTTP-Seguro) e o nome do domínio citibank.acessocliente.com não é no Brasil (não é .com.br, mas sim .com internacional) nem é, como se deveria esperar, o domínio principal do banco no país, como www.citibank.com.br. Contudo, a fraude ainda conseguiu usar um um domínio com um nome genérico que pode parecer com algo bancário — “acesso cliente” — e ainda precedido por um subdomínio com o nome do banco. Ou seja, nesse quesito a fraude pode gerar suspeita, mas também não é tão grosseira.

Informação improvável: SIM. Os mais inocentes e desavisados podem achar que um banco oferecer atualização de segurança por e-mail seja plausível, mas nenhum banco faz isso porque é algo muito inseguro e tema recorrente de fraudes. E se você tem dúvida, ligue para o banco antes de clicar em qualquer coisa.

Impessoalidade: SIM. O seu nome real aparece no cabeçalho ou no texto da mensagem? Não. Então provavelmente quem fraudou não sabia o seu nome, como o banco (se você for cliente) deveria saber. Como boa prática, mensagens desse tipo deveriam ser enviadas de forma personalizada, citando o seu nome completo. Infelizmente, essa boa prática nem sempre é seguida nas mensagens legítimas, e também as listas de spam mais “sofisticadas”, como já mencionei, podem obter e utilizar também o seu nome real, junto com seu endereço de e-mail. Veja meu artigo Cuidado – A fraude evoluiu.

Remetente suspeito: NÃO. Esse é o erro mais fácil de um fraudador evitar, porque o endereço do remetente, infelizmente, pode ser facilmente forjado.

Ou seja, vários indícios de fraude, mesmo que alguns deles sutis.

O golpe

Espero que, com tantos avisos, orientações e exemplos que posto, você meu leitor nunca seja um desses inocentes e desavisados incautos que clicam em um link duvidoso em uma mensagem de e-mail. Nunca clique!

Para analisar também o ataque, investiguei também o que havia no link destino, em um ambiente controlado e com cuidado e cautela extremos. Não faça isso em casa, nem muito menos no trabalho nem lugar nenhum.

O link leva diretamente ao download de um arquivo executável chamado Cadastro_CitiBank.exe para sistema operacional Windows. Trata-se de um programa espião roubador de senhas bancárias. Se executado, o programa silenciosamente se instala para ficar em execução contínua e reativado automaticamente toda vez que o sistema operacional for iniciado. Fica monitorando permanentemente o uso do computador e, se você digitar dados bancários, ele os captura e tenta enviar ao fraudador via internet.

Utilizando o serviço VirusTotal.com, enviei o arquivo para análise pelos 43 mecanismos antivírus disponíveis no serviço. No dia do envio, nenhum antivírus em VirusTotal detectou o executável como malicioso. Pelo menos três dias depois da fraude ativa, apenas o antivírus Kaspersky 9.0.0.837 (com atualização de 2011.07.26) passou a detectar como o malware Trojan-Banker.Win32.Banker.skab. E decorrido mais um dia, ainda eram apenas seis os antivírus que detectavam o perigo: AntiVir (TR/Banker.Banker.skab), Antiy-AVL (Trojan/Win32.Banker), eTrust-Vet (Win32/Banker.GPF), Kaspersky, TrendMicro-HouseCall (TROJ_BANKER.FGR) e ViRobot (Trojan.Win32.Banker.1064448.A).

O que quero mostrar com isso é que a proteção dos antivírus nem sempre é efetiva e imediata na detecção de novos códigos maliciosos, pois a notificação/descoberta e análise toma algum tempo. Dessa forma, os usuários ficam ainda mais vulneráveis nos primeiros dias de existência de toda nova fraude, pois provavelmente as ferramentas de antivírus/proteção ainda não a reconhecem e, portanto, não nos protegem de imediato.

É importante lembrar que os antivírus basicamente trabalham com o princípio de um “policial com uma lista de procurados e suspeitos”. Quando surge um novo “criminoso” (código malicioso), se ele não tiver um padrão previamente identificado como suspeito, precisará ser “denunciado” (detectado e analisado) pela empresa de antivírus até que entre na “lista de procurados”.

É uma guerra de “polícia e ladrão” onde as únicas armas realmente efetivas para todos sempre são a atenção, o cuidado e a precaução. Fique alerta, cuide-se! Evite as fraudes.

Assim como no trânsito existe a máxima de “Na dúvida, não ultrapasse.“, na internet você pode seguir a precaução “Na dúvida, não clique.

6 Replies to “Anatomia de uma fraude: CitiBank”

  1. Muito útil esse post. Valeu por compartilhar.
    Mas existe uma maneira mais fácil de identificar a fraude nesse caso do Citibank: o citibank não possui domínio de email com.br, apenas .com
    []’s

  2. Atualizações acompanhando no VirusTotal.com:

    5 dias após recebida a fraude, apenas 11 antivírus detectando
    http://www.virustotal.com/file-scan/report.html?id=e0fb02457d248bf18a84f88f36438e3aa1992b49d25ac71a424524ab14d9b25c-1311807766

    8 dias após, 22 antivírus detectando
    http://www.virustotal.com/file-scan/report.html?id=e0fb02457d248bf18a84f88f36438e3aa1992b49d25ac71a424524ab14d9b25c-1312078193

    Curiosidades: McAfee e Symantec/Norton, dois dos mais populares antivírus no Brasil, nenhum dos dois dectectou segundo VirusTotal. AntiVir foi o primeiro dos grauitos mais populares a detectar (4º dia, entre os 6 primeiros a detectar); e Avast, AVG e Microsoft Essentials detectaram no 8º dia.

  3. @Loiane Groner: Olá, obrigado pela participação e comentário.

    Contudo, para o usuário comum sem maior conhecimento técnico, pelo fato de citibank.com.br ser um domínio web válido, o endereço de e-mail poderia parecer verossímil.

    Abraço!

  4. Eu tenho ficado de olho no Citibank desde que abri minha conta nele, pois sou cliente Itaú.

    Eu quero alertar a todos, que tomem cuidado quando abrir uma conta no Citibank no Brasil, pois investiguei a fundo e pude perceber em primeiro lugar que o comportamento dos funcionários do banco, não é o mesmo nos EUA.

    1- Os gerentes sempre tentarão manter seu dinheiro lá.

    2- Os gerentes vão te empurrar produtos que não passa delido.

    3- O atendimento é péssimo e você não vai lucrar nada, pois quando você deposita seu dinheiro na poupança,seu dinheiro tem que ficar preso por um dia ou mais na conta corrente, pois esse é o tempo que o banco vai levar para fazer o overnight com seu dinheiro.

    4- se você desejar enviar seus recursos para o exterior, sua gerente vai disser que seu dinheiro tem que ser declarado, por mais documentação que você apresente, comprovando a origem.

    UMA QUE NINGUÉM SABE……..

    NENHUMA AGÊNCIA CITIBANK AQUI NO BRASIL, É DO GRUPO CITIBANK, ELES NÀO PODEM VISUALIZAR SUA CONTA NO CITIBANK AMERICANO. O CITIBANK AQUI NÃO PASSA DE UMA FRANQUIA DISFARÇADA DE BANCO AMERICANO. ISSO É UMA FRAUDE QUE MUITOS CORRENTISTAS NÃO SABEM. O EMPRESÁRIO QUE USA A FRANQUIA, QUE NO CASO É A BANDEIRA DO CITIBANK AQUI NO BRASIL, É BRASILEIRO.

    O CITIBANK AMERICANO DIZ QUE O GRUPO NÀO TEM NADA HAVER COM ESSES BANCOS CITIBANKS FURRECAS DAQUI.

    ENTÀO MINHA GENTE!

    NÃO ABRAM CONTA NO CITIBANK QUE É FRANQUEADO NO BRASIL, QUE VOCÊS VÀO SER PASSADOS PARA TRÁS. ESSES BANCOS NÀO DIFEREM DE FRANQUIAS COMO MC DONALDS, SUBWAY, SEVEN ELEVEN E OUTRAS FRANQUIAS INTERNACIONAIS QUE SÓ SERVEM PARA ENCHER LINGUIÇA.

    SE ACHAREM QUE É MENTIRA MINHA, LIGUEM PARA O CITIBANK DOS EUA E CONFIRMEM O QUE ESTOU FALANDO.

Deixe uma resposta