Blog do Márcio d'Ávila

Tweet

Desde 2004, venho monitorando fraudes que circulam na Internet brasileira.

Desde então, cresce e se multiplica a fraude mais típica no Brasil até agora: Uma mensagem enviada como spam em larga escala, com um assunto fraudulento qualquer que possa convencer e atrair a atenção de parte dos destinatários, para que cliquem em um link que os fará instalar e deixar em execução um programa espião, tipicamente um “roubador” de dados bancários.

Ao longo destes cinco anos coletando e analisando fraudes, eu mantenho o artigo Phishing Scam – A fraude inunda o correio eletrônico, que lista imagens de mais de duzentos exemplos de fraude, organizados por temas.

As fraudes começaram grosseiras. Mas, inevitavelmente como em qualquer área de conhecimento, para o bem ou para o mal, as coisas evoluem. E a fraude evoluiu.

Ontem, recebi a primeira fraude em que vi uma mensagem personalizada, ou seja, onde incluíram o meu nome verdadeiro na mensagem, para aumentar a verossimilhança.

Isso significa que, ao invés do fraudador usar uma base de dados de spam simples de e-mails para enviar a fraude, agora eles estão utilizando uma base de dados de spam com nome e e-mail.

Figura 1: Reprodução da mensagem de fraude recebida.

Indícios

Dos cinco indícios típicos principais que listo para se identificar fraudes, mais um deles foi suplantado: a impessoalidade. Vamos analisar esta mensagem quanto a estes indícios:

• Apresentação descuidada: NEGATIVO.

  Esta mensagem tem um layout HTML razoável e inclusive utiliza uma imagem de cabeçalho extraída do próprio site real da Gol Linhas Aéreas. Não apresenta erros grosseiros de português. O texto não está acentuado, mas algumas mensagens legítimas também não utilizam acentos (por razões de compatibilidade). Só há pequenos descuidos, que eventualmente poderiam existir em uma mensagem legítima — e que dificilmente um usuário leigo ou pouco observador perceberia — como: os dados da suposta passagem exibem hora, mas não data nem número do voo; não houve tratamento adequado para que a imagem bem larga (970 pixels) não gerasse barra de rolagem (scroll) lateral.

• Link destino não confiável: POSITIVO.

  Observe na figura o endereço do link de destino na barra de estado: fotosnovidades.net/d2/GOL_TICKET_Marcio.txt. O domínio Fotosnovidades.net não tem nada a ver com a Gol. Mas isso é um detalhe sutil. Infelizmente, muitos usuários clicam em links sem avaliar antes o endereço destino. E já vi outras fraudes que dissimulam esse indício, usando endereços com nomes mais plausíveis.

• Informação improvável: NEGATIVO.

  O tema, aquisição de passagens de uma das principais empresas aéreas brasileiras, é perfeitamente plausível a milhares de brasileiros que podem ter recebido a fraude. Além do mais, mesmo uma pessoa que nunca viajou de avião pode ser atraído pela mensagem temendo estar sendo vítima de um roubo de identidade e/ou de uso indevido de seus dados na suposta aquisição de passagem aérea.

• Impessoalidade: NEGATIVO.

  A atual evolução. A fraude usou uma base de dados de spam mais “apurada”, que contém não só e-mails, mas os respectivos nomes das pessoas, enviando mensagens pessoais e individualizadas. Assim, a fraude utilizou o meu nome verdadeiro.

• Remetente suspeito: NEGATIVO.

  Esse infelizmente é fácil de fraudar. Assim como em uma carta em papel qualquer um pode escrever o que quiser como remetente, é possível forjar nome e endereço eletrônico do remetente no cabeçalho “De” (From) da mensagem de e-mail. Esta fraude identificou o remetente como "SAC GOL" <noreply@voegol.com.br>, que aparenta ser originado da Gol. Um técnico que inspecione o cabeçalho completo no código-fonte da mensagem pode identificar um servidor SMTP de onde a mensagem partiu suspeito. Mas essa informação é bastante técnica, de difícil compreensão ou análise por um leigo e não é exibida na visualização básica de mensagens.

Ou seja, o único indício de fraude foi o endereço de destino suspeito do link, e mesmo assim esse eventualmente poderia não ser observado ou poderia ter sido dissimulado.

Malware

Neste caso, o endereço de destino levava ao download do malware que meu antivírus (Kaspersky Internet Security 2009) identificou como o programa cavalo-de-tróia espião Trojan-Downloader.Win32.Agent.byij.

Contudo, a detecção dos programas maléficos pelos antivírus depende de uma amostra desse programa ser interceptada na Internet, identificada pelos centro de análise do fornecedor do antivírus e a devida atualização da base de dados do antivírus ser distribuída aos usuários. Isso pode levar alguns ou até muitos dias para ocorrer para cada empresa de antivírus e, até lá, os usuários estão desprotegidos por parte dos antivírus ou outros utilitários antimalware.

Além disso, cientes dessa sistemática, os fraudadores em geral alteram frequentemente o programa espião utilizado na fraude, para dificultar a detecção. Em palavras mais simples, os antivírus e programas de proteção se baseiam em uma “lista de programas malfeitores procurados”; quando o programa malware utilizado na fraude não está na lista do antivírus, ele não é detectado como malfeitor. A situação é ainda mais grave para quem não usa um bom antivírus ou não o mantém constantemente atualizado.

Figura 2: Malware apontado pelo link malicioso, nesta caso detectado pelo antivírus.

Quando submeti o programa malware para análise pelo excelente serviço gratuito VirusTotal.com, ele informou que este arquivo já havia sido analisado (outra pessoa o submeteu antes).

Talvez por isso — já que o VirusTotal.com notifica as empresas antivírus participantes do serviço sobre malwares detectados por algum dos programas — a taxa de identificação do malware tenha sido razoavelmente alta neste caso, em que foi detectado por 27 dos 39 programas antivírus testados (quase 70% deles, portanto).

Conclusão

Portanto, a lei e a segurança evoluem, o crime também. A única arma que sempre continua valendo para o usuário que quer se prevenir nessa guerra é a prática de cautela, atenção, cuidado e desconfiança constantes.

Tweet

Tweet

Quando se pensa em programas antivírus ou segurança internet, provavelmente são lembrados Kaspersky, Norton/Symantec, McAfee e mais um ou outro. Quando o assunto é software gratuito, a lembrança deve passar para Avira, Avast, AVG…

Mas depois de uma pesquisa minuciosa e (muito) trabalhosa, cheguei a uma mega lista de 25 produtores de software antivírus e proteção Internet, mais dois serviços de análise de malware que utilizam múltiplos antivírus simultaneamente.

A tabela resumo resultante do trabalho apresenta, para cada fornecedor, informações — centro de informação, enciclopédia de malware, listas/newsletters por e-mail e blogs — e ferramentas — produtos fornecidos, utilitários gratuitos de remoção, serviços de varredura on-line e de análise de amostras suspeitas.

Uma versão reduzida desta tabela já existia no Márcio’s Hyperlink, mas agora, a lista foi bastante reorganizada, ampliada e atualizada. Boa parte dos links anteriormente listados estava desatualizada.

Não deixe de conferir, pois não vão faltar recursos para sua informação e defesa contra pragas virtuais:

• Márcios’s Hyperlink: Segurança: Malware: Vírus

Tweet

Tweet

Mais um exemplo de fraude por e-mail, dessa vez na onda do processo eletrônico no Brasil.

A fraude se faz passar como originado do Ministério Público Federal, mas usa um endereço remetente (De) stradion.servicos@globo.com que nada tem a ver com o MPF.

Também manda baixar uma suposta “intimação”, mas aponta para um endereço destino ainda mais suspeito, em h1.ripway.com, igualmente nada relacionado com o Ministério Público Federal, cujo sítio real é em mpf.gov.br. Por sinal, no sítio real do MPF, um quadro em destaque no centro da página informa:

O MPF não envia e-mails. Se receber mensagem eletrônica com intimação ou divulgação de brasão, apague-a imediatamente.

Eis a imagem de reprodução da mensagem de fraude:

Ironicamente, o brasão exibido na mensagem de fraude é extraído do portal Denunciar.org.br – SaferNet Brasil, que oferece o serviço de Central Nacional de Denúncias de Crimes Cibernéticos.

Para saber mais:

• Mais fraudes na selva da Internet, por Márcio d’Ávila, 2008-02-16.
• Scam – A fraude inunda o correio eletrônico, por Márcio d’Ávila, atualizado em 2008-05-02.

Tweet

Tweet

Há muito tempo que eu não comentava ou alertava sobre fraudes circulantes na Internet. Não que elas tenham diminuído, pelo contrário, continuam circulando por e-mail todos os dias aos milhões, inundando caixas postais de todo mundo.

É que as fraudes por e-mail haviam se proliferado tanto nos últimos, e já há tanta informação e alertas sobre elas, que assumi que o assunto já não representava grande novidade e utilidade. Que nada!

As fraudes circulantes no Brasil praticamente sempre têm uma regra geral: Fazem proliferar em grande escala mensagens de correio eletrônico (spam) com um texto mentiroso qualquer — chamado de isca pesca-bobo ou phishing scam — que induza o usuário a clicar em um link, baixar e executar em seu computador um programa espião roubador de dados bancários e pessoais.

Monitorei e coletei por quase três anos (2004 a 2007) centenas de exemplos dessas mensagens de fraude, resultando no artigo Phishing Scam – A fraude inunda o correio eletrônico, que exibe imagens (inócuas) das amostras, que classifiquei em sete grupos de temas:

• Cartões e Mensagens
• Notificações Financeiras e Cadastrais
• Informações e Notícias Bombásticas & Apelos Dramáticos
• Download de Aplicativos/Utilitários
• Prêmios, Promoções e Campanhas
• Temas Adultos
• Formulários bancários

Também nesse artigo, listei os principais indícios de fraude, um ou mais aspectos que costumam ocorrer em uma mensagem fraudulenta e que devem aguçar a atenção e desconfiança do destinatário:

• Link destino suspeito
• Apresentação descuidada
• Informação improvável
• Impessoalidade
• Remetente desconhecido

Pode acontecer, porém, de uma fraude ser sofisticada de forma a evitar a maioria ou até todos desses aspectos. Por exemplo, o texto e a aparência da mensagem de fraude podem ser copiados de alguma mensagem legítima de algum serviço ou fonte notória, conferindo-lhe uma apresentação bem cuidada e conteúdo verossímil.

Outras fraudes podem combinar a técnica de capturar os dados do catálogo de endereços de e-mail de um computador infectado, fazendo parecer que o remetente e o destinatário sejam pessoas realmente conhecidas entre si, mitigando assim os aspectos de impessoalidade e uso de um remetente desconhecido aleatório. E é importante lembrar que a informação de remetente de um e-mail pode ser fraudada com certa facilidade, da mesma forma que se pode escrever qualquer coisa no campo de remetente ao enviar uma carta (papel) pelo Correio convencional.

Mesmo o aspecto de endereço destino suspeito em links apresentados nas mensagens às vezes podem ser dissimulados quando a fraude utiliza um domínio ou endereço que tenham correspondência lógica com o texto da fraude (por exemplo, a fraude fala de uma promoção da loja X e o fraudador consegue utilizar um endereço do tipo http://promolojax.atalho.com).

Programas antivírus e outros mecanismos de proteção Internet automatizada dificilmente conseguem ser muito efetivos para proteger os usuários nesses casos, pois fraudes diferentes se proliferam aos milhões a todo momento, com pequenas variações e mudanças entre uma e outra, o que dificulta a identificação de padrões comuns que permitam aos programas de proteção interceptarem com precisão toda a diversidade de fraudes.

Assim, o único instrumento realmente efetivo é o discernimento do usuário de Internet, ou seja, o exercício constante da desconfiança, da cautela e do bom-senso por todos que usam Internet.

No meu artigo citado, eu apresento mais informações que podem ajudar qualquer usuário a ser mais cuidadoso. Para lidar com os links suspeitos, por exemplo, a dica de segurança é relativamente simples: Sempre verifique o endereço de destino de um link antes de clicar nele. E, na dúvida, não clique.

Como quase todas as fraudes no Brasil tentam executar um programa malicioso em seu computador, outra dica central de extrema efetividade é a seguinte: se um link de uma mensagem solicitar a execução de um programa, não execute prontamente. Mesmo que a mensagem pareça ter vindo do seu melhor amigo, do seu banco, do Governo ou da sua loja preferida na Internet, duvide, questione, pergunte antes, mas não execute!

E um alerta adicional sobre a execução de programas a partir de links: Para piorar a situação, vez por outra ainda surgem fraudes que descobrem e se valem de uma falha ou vulnerabilidade de segurança de um programa de e-mail ou navegador Internet popular para conseguir fazer com que, uma vez que o link seja clicado, o programa consiga executar sem confirmação ou aviso prévio. Ou seja, é realmente melhor nem clicar em um link de uma mensagem suspeita de fraude.

Ficou assustando(a)? Infelizmente, é para ficar mesmo. A imensidão da Internet de hoje em dia é como viver nas grandes metrópoles: existe perigo em cada esquina e cada cidadão (e internauta) precisa ficar permanentemente alerta.

Apresento agora uma fraude brasileira que anda circulando por correio eletrônico nos últimos dias e que me motivou a escrever o presente post. Vi, com tristeza, que alguns conhecidos meus caíram na lorota e foram infectados!…

A fraude se faz parecer como o envio de uma charge (ilustração ou animação de humor) do UOL Charges, com um link para a suposta visualização (na verdade, instalação do programa malicioso). Esse é o tipo de tema que classifico como “Cartões e Mensagens”. Além disso, a fraude ainda combina o uso de nomes e endereços de e-mail de computadores infectados e, por isso, costuma indicar como remetente alguém que você realmente conhece.

Conforme citação que encontrei no fórum portal de segurança Linha Defensiva, esta fraude já circula há muito tempo. Eis um exemplo que coletei ontem (há variações do assunto e do texto da mensagem em circulação):

Assunto: Muito boa essa precisa ver
Remetente: (Alguém conhecido com computador infectado )

Olá fulano@dominio.com ,

Seu Amigo (a) Beltrano – ( beltrano@provedor.com )
Enviou uma WebCharges do UOLCharges no dia 15/02/2008!.

Para a visualização da Animação Utilize:

[:: Visualizar UOL Charge de fulano@dominio.com - lN4AIaCEGZkh5Sa::]

Caso o link não responda, Tente:

[:: Visualizar UOL Charge de fulano@dominio.com - lN4AIaCEGZkh5Sa_9::]

Veja uma imagem reproduzida da mensagem (por questão de privacidade, omiti o nome e e-mails do remetente e destinatário originais):

Note que o link destino (destacado em vermelho na barra de endereço, na imagem), nesse caso é suspeito e dá claro indício que nada tem a ver com o real portal de humor UOL Charges, cujos endereços são www.charges.com.br ou charges.uol.com.br. O link destino está no suspeitíssimo domínio restauracionesfr.com (existem variações desta fraude apontando para diversos outros domínios, todos eles sem nenhuma ligação ou sequer semelhança com o real Charges.com.br).

Por sinal, o portal UOL Charges já foi tão vitimado como tema freqüente de fraudes que desde 2006 tomou uma medida radical: parou de incluir links nas mensagens legítimas que o serviço permite a alguém enviar convidando um conhecido a ver uma charge. Eis a seguir reprodução do Aviso Importante divulgado no portal Charges.com.br:

Prezado(a) Internauta,

Devido o aumento do número de SPAM e vírus utilizando de forma criminosa nossa marca e a de vários outros sites de sucesso, o Charges.com.br modificou a sua forma de enviar os cartões.

À partir do dia 12/01/2006 o cartão do Charges.com.br terá apenas o código que deverá ser inserido no campo correspondente do endereço: http://charges.uol.com.br/cartao/.

O Charges.com.br está adotando a Política de Segurança de não enviar links nos cartões virtuais. Caso você receba um cartão que tenha um link, pedimos que apague, pois trata-se de um e-mail falso.

Uma sugestão final: Atualmente recomendo o uso do antivírus Kaspersky, que utilizo pessoalmente (não, não recebo nada por recomendar esse programa) há vários anos e posso atestar que é um dos mais rápidos e efetivos em detectar programas maliciosos usados nesse tipo de fraude. O Kaspersky, por sinal, foi recentemente avaliado como o melhor programa de proteção pessoal pela revista INFO Exame (fevereiro/2008) e a empresa Kaspersky Lab eleita como melhor desenvolvedor de soluções de segurança pelos leitores da revista em junho de 2007. Mas nunca se esqueça que as fraudes sempre surgem primeiro que as proteções contra elas, ou seja, nenhum programa garante proteção total nem instantânea.

É, a Internet continua uma selva.

Para saber mais:

• Malware – Software Malicioso, referências sobre vírus, pragas digitais, spyware, fraudes.
• Anatomia de uma fraude, 2007-01-04.
• Fraude do dia: Saddam, 2007-01-04. Ilustra outra fraude típica para instalar programa espião.
• Programas de fraude – nova rodada (4), 2006-09-27. Comparativo da evolução de detecção de cinco programas espiões proliferados por fraudes, entre os 27 utilitários antivírus no serviço VirusTotal.com.

Tweet

Tweet

Desde o início deste ano eu não atualizava meu artigo Scam – A fraude inunda o correio eletrônico.

Depois de dois anos coletando e categorizando fraudes que circulam por correio eletrônico, os mais de 350 exemplos contidos no artigo já são referência suficiente para ilustrar e esclarecer, de forma muito clara, a todos sobre a verdadeira indústria das fraudes pega-bobos que circulam aos montes no Brasil e no mundo.

No caso do Brasil, praticamente todas essas fraudes têm sempre o mesmo objetivo: roubar dados pessoais da vítima, especialmente senhas bancárias. O que muda basicamente são só os temas de mentiras usados para atrair a vítima e fazer com baixe/execute um programa espião (“roubador” de senhas) ou mesmo forneça diretamente os dados em um formulário.

Hoje porém resolvi adicionar dois exemplos de fraude detectadas recentemente, por se tratar de marcas amplamente conhecidas: cartões Credicard Citi + Itaucard e Caixa Econômica Federal (FGTS).

A primeira fraude leva a um formulário na web que solicita diversos dados pessoais e bancários da vítima, fingindo tratar-se de um recadastro. As imagens (cópia de tela) de exemplo estão as rotuladas com “Credicard” e “Web: Credicard”, na seção Exemplos: Formulário – Nacionais da página principal.

Na página de exemplos sobre Notificações Financeiras e Cadastrais foi adicionado o da fraude “Caixa FGTS”, do tipo download de programa cavalo-de-Tróia espião, que usa a mentira de um suposto crédito de FGTS na Caixa para levar ao programa Trojan-Downloader.Win32.Banload.esq (classificação Kaspersky Lab, 2007-11-03).

Tranqüilizo o leitor que as imagens de exemplo aqui e no artigo são inofensivas, apenas cópias de tela (printscreen) das fraudes reais, sem apontar para os programas ou formulários maliciosos originais. Os links das minuaturas acima levam à respectiva página do artigo com mais exemplos. Nas páginas do artigo, clicar em uma miniatura apenas abre a imagem ilustrativa em tamanho real.

Tweet

Tweet

A empresa de segurança Symantec divulgou em setembro seu XII Relatório de Ameaças à Segurança na Internet, publicação semestral que fornece uma atualização do cenário mundial de ameaças virtuais. Ele inclui a análise de ataques em redes, um resumo das vulnerabilidades conhecidas e de códigos maliciosos. Também avalia tendências nas atividades de phishing scam (fraudes “pega-bobos”) e spam (mala-direta/lixo em massa por e-mail).

Informações e resumos sobre o relatório estão disponíveis em Inglês, Português e Espanhol, mas o relatório completo é só em inglês. Essa é a décima-segunda edição semestral do relatório, publicado pela Symantec desde 2002. Na página Internet Security Threat Report (em inglês) estão disponíveis mais informações e todas as edições anteriores do relatório.

Eis os pontos de destaque do XII Relatório Symantec, disponíveis em documentos de resumo em português:

• Introdução
• Dados mundiais:
  • Crescente profissionalização e comercialização de atividades maliciosas
  • Ameaças cada vez mais feitas sob medida para certas regiões
  • Número crescente de ataques em múltiplos estágios
  • Criminosos exploram sites confiáveis para atingir vítimas
  • Convergência dos métodos de ataque
• América Latina:
  • Principais ataques
  • Principais países-fonte
  • Número de computadores infectados por Bot em cada país
  • As 10 principais amostras de códigos maliciosos
  • Spam

Outra empresa de segurança que divulga relatórios periódicos similares é a Modulo Security, principal empresa brasileira especializada em gestão de riscos e segurança da informação. Desde 1994, a Modulo realiza anualmente Pesquisas Nacionais sobre Segurança da Informação, focadas no Brasil.

Para saber mais:

• Referências em Informação sobre Segurança, por Márcio d’Ávila.

Tweet

Tweet

Em 2004, a agência de publicidade Foote Cone & Belding (FCB) de Lisboa, Portugal, fez uma campanha publicitária fantástica para a revista portuguesa Grande Reportagem. A campanha, intitulada “Bandeiras”, apresentava bandeiras de algumas nações, usando a proporção das cores que preenchem a bandeira como infográfico de algum dado estatístico — uma mazela social — local, acrescido do slogan “Conheça o mundo em que vive.”

A campanha foi tão bem sucedida que levou a FCB a ser premiada com um Leão de Ouro no Festival Internacional de Publicidade de Cannes em 2005.

Eis a peça publicitária que tem a bandeira do Brasil como tema (clique na imagem para ampilar):

Legenda: Verde – Pessoas que vivem com menos de 10 dólares por mês
Amarelo – Pessoas que vivem com menos de 100 dólares por mês
Azul – Pessoas que vivem com menos de 1000 dólares por mês
Branco – Pessoas que vivem com mais de 100.000 dólares por mês

O conjunto de oito bandeiras que compõem a campanha publicitária pode ser visto em Consciência.Net, 2004. As mesmas imagens estão também reproduzidas com legenda em texto no blog Issamu, em O mundo em que vivemos, Maringá, Brasil, 2007-05-21. Eis a lista de bandeiras e o respectivo fato ilustrado:

• Angola (endemias/saúde)
• Brasil (má distribuição de renda)
• Burkina Faso (mortalidade infantil)
• China (trabalho infantil)
• Colômbia (tráfico de drogas)
• Estados Unidos (guerra no Iraque)
• Somália (mutilação genital feminina)
• União Européia (escassez de petróleo)

Como não podia deixar de ser, as imagens das bandeiras começaram a circular em correntes por e-mail, na forma de uma lenda urbana, no seguinte boato, obviamente inventado e falso:

O diplomata norueguês Charung Gollar foi incumbido de apresentar, na ONU, um gráfico mostrando os principais problemas que preocuparam o mundo no decorrer de 2005.

Apresentou oito gráficos, intitulado ‘O Poder das Estrelas’. Foi aplaudido de pé! E seu trabalho foi indicado a concorrer para o prêmio Nobel em Marketing político… Vejam os gráficos!

As duas coisas são incríveis pela sua criatividade: a campanha publicitária da FCB e a lorota mirabolante do boato!

Para saber mais:

• Revista ‘Grande Reportagem’ brilha em Cannes com ‘Bandeiras’, Diário de Notícias Online, Lisboa, Portugal, 2005-06-22.
• FCB “Bandeiras” o único Leão português, SEE-Lions 2005 Cannes Especial.
• Flags as Infographics (em inglês), NewsDesigner.com, EUA, 2005-04-27.
• Grande Reportagem – Realidade em cores, blog Brainstorm #9, Brasil, 2005-01-04.
• Lo mejor del 2005: Bandeiras (em espanhol), blog Llámame Lola, 2005-12-17.
• O Poder das Estrelas, blog Caixa Preta, Brasil, fevereiro 2007.

Tweet

Tweet

O meu xará e leitor assíduo Márcio Rodrigues se sensibilizou pelo artigo que postei em 24 de novembro de 2006 sobre o boato envolvendo o “Criança Esperança”, e continuou interessado pelo assunto. Em uma postagem de 25 de março passado no seu blog, ele chamou a atenção para o comunicado que a UNESCO fez com esclarecimentos sobre a campanha Criança Esperança e as calúnias contidas no boato.

É triste ver que boatos como este, que agora se propagam com a velocidade e a abrangência da Internet, possam existir. Criado aparentemente para atingir a Rede Globo, o boato afirma que a emissora teria vantagens no Imposto de Renda com o Criança Esperança, uma mentira que pode acabar prejudicando o apoio e a confiança em uma campanha tão séria e positiva!

Como eu sempre digo, o boato e a fofoca são uma praga, seja ao vivo ou via Internet.

Tweet

Tweet

Kaspersky Lab — renomada empresa russa especializada em ferramentas de segurança digital, como o excelente Kaspersky Antivírus, para proteção contra a pragas virtuais ou software malicioso (malware) — publicou hoje um artigo esclarecedor sobre os keyloggers. Keylogger é um programa gravador de digitação/mouse, usado para capturar dados introduzidos pelo usuário de um computador. Este tipo de programa pode ser usado para fins legítimos como monitoramento de segurança, mas na maioria das vezes é utilizado de forma maliciosa e mesmo criminosa.

Keyloggers representam grande ameaça aos usuários de Internet, sendo em geral proliferados por spam com mensagens fraudulentas (phishing scam). O objetivo dessas fraudes é instalar furtivamente programas keylogger, para capturar dados pessoais digitados pelos usuários, que são enviados para malfeitores pela Internet. No Brasil, fraudes utilizando keyloggers, visando roubar contas e senhas de bancos brasileiros daqueles que acessam bancos pela Internet, têm sido largamente aplicadas.

Em linguagem clara voltada ao entendimento do público geral, o texto apresenta os keyloggers, explica porque eles são uma ameaça, como os criminosos cibernéticos os utilizam, como eles se proliferam e como se proteger contra keyloggers.

O artigo conclui (tradução livre):

Atualmente, keyloggers — junto com técnicas de phishing e engenharia social — são um dos métodos de fraude cibernética mais utilizados. Empresas de segurança de TI têm registrado um firme crescimento no número de programas maliciosos que têm funcionalidade de gravação de digitação/mouse.

• Keyloggers: How they work and how to detect them (Part 1) (em inglês), por Nikolay Grebennikov, Kaspersky Labs, 29 de março de 2007.

Tweet

Tweet

Ano novo, fraude nova, usando como tema notícia bombástica recente: a execução de Saddam Hussein, ocorrida no final de 2006.

Chamo a atenção nesta fraude para a técnica usada no link malicioso: ao invés de apontar diretamente para o arquivo executável a ser baixado, o link na mensagem de fraude aponta para uma página web que tenta explorar uma velha vulnerabilidade do Internet Explorer — já corrigida por atualização crítica de 02 de julho de 2004 — classificada pelos antivírus como Exploit.JS.ADODB.Stream.e ou ainda Troj/Psyme-CY.

A vulnerabilidade visa fazer com que o programa seja baixado e executado automaticamente pelo navegador. Outros navegadores, bem como o próprio Internet Explorer com a atualização crítica aplicada, não são atingidos por esta técnica. Antivírus que reconhecem essa ameaça também podem bloquear o acesso à página perigosa (em qualquer navegador), como na ilustração a seguir.

Se a vulnerabilidade for ignorada, caso um ingênuo clique no link da mensagem para abrir a página, o navegador web pode acabar solicitando o download do arquivo executável malicioso apontado pela página. O programa malware neste caso é mais um roubador de dados bancários do Brasil, identificado pelo Kaspersky antivírus como Trojan-Downloader.Win32.Banload.bej.

Como sempre, a proteção mais efetiva é simples: você não clicar no link, e com isso não abrir a página, não baixar o arquivo nem executar o programa.

• Scam – A fraude inunda o correio eletrônico, por Márcio d’Ávila, centenas de exemplos de fraudes, freqüentemente atualizado.
• US-CERT Technical Cyber Security Alert TA04-184A: Internet Explorer Update to Disable ADODB.Stream ActiveX Control, National Cyber Alert System, EUA, 2 de julho de 2004.
• Atualização crítica para Componentes do Microsoft Data Access – Desabilitar o objeto ADODB.Stream do Internet Explorer (KB870669), Base de Conhecimento do Suporte Microsoft, incluindo download da atualização crítica.
• Exploit.ADODB.Stream e Exploit.JS.ADODB.Stream.e, Counter Spy Research Center, Sun Belt.
• Trojan Exploit.JS.ADODB.Stream.e, Cyberoam Tech Updates.
• ADODB.Stream, F-Secure Trojan Information.
• Troj/Psyme-CY, Trojan – Sophos threat analysis.

Tweet