Blog do Márcio d'Ávila

Depois de mais de dois anos acompanhando fraudes, finalmente recebi hoje uma que usa o nome da loja virtual Submarino, o maior e mais sólido serviço de comércio eletrônico ao consumidor via Internet do Brasil:

[photopress:scam_submarino.png,full,centered]

Para saber mais:

• Scam – A fraude inunda o correio eletrônico

Os indícios de fraude por e-mail sempre estão presentes. Reiterando as características que citei em meu artigo de alguns dias atrás, veja mais um exemplo recente.

[photopress:anatomia_scam_02.png,full,centered]

A mensagem diz ser do serviço “OCarteiro.com”, mas ao pousar o mouse sobre o link e observar o real endereço de destino, novamente os indícios de fraude ficam óbvios.

1. mensagem1288.exe: o link é para o download de um programa Windows (EXE), e não uma página de cartãoo virtual. Em geral, nenhum conteúdo “saudável” na Internet costuma ser distribuído como executável.
2. www.40drinks.net: este domínio de destino não tem nada a ver com OCarteiro.com.
3. O próprio texto da fraude indicava que o link seria para http://ocarteiro.com.br/lercartao.php?id=..., portanto não se parece nem um pouco com seu real destino. Além disso, o link exibido no texto apresenta um número de identificação para o cartão (59554A46821571) e logo adiante no texto é apresentado outro (1902667279A7383).
4. Outra característica comum em fraudes: o nome do remetente contém o assunto da mensagem, ao invés de conter um nome como se esperaria. Deve ser porque quem constrói essas fraudes sequer sabe a diferença entre “Subject” (Assunto) e “From” (Remetente) de um e-mail.

Detalhe: na fraude, está exibido um banner de publicidade que diz: “Proteja seu PC [computador] de intrusos, curiosos e invasores”. Será coincidência ou ironia?

E se apesar de tudo a pessoa ainda é trouxa o bastante para resolver clicar no link, olhe só o que o navegador Internet Explorer 6, por exemplo, alertaria:

[photopress:ie6_download_aviso.png,full,centered]

Download de Arquivo – Aviso de Segurança

(…) Este tipo de arquivo [executável] pode danificar seu computador. Se você não confiar em sua origem, não execute nem salve este software.

Note que a opção sugerida, portanto, é “Cancelar”. E o link “Qual é o risco?” ainda apresenta informações adicionais úteis, na Ajuda do Windows. Assim, não é por falta de aviso e informação que alguém vai dizer que deixou o programa nocivo entrar.

Por fim, utilizei o excelente serviço gratuito Virus Total para analisar o arquivo mensagem1288.exe simultaneamente em 27 sistemas antivírus atuais. Pelo menos 5 deles identificaram o arquivo como um malware (programa maléfico), do tipo spyware (programa espião), mais especificamente um típico keylogger (gravador de digitação) que visa roubar senhas de bancos brasileiros digitadas em páginas de Internet Banking.

Embora isso indique que ainda são poucos os antivírus que conseguem identificar prontamente as dezenas de variantes de spyware que surgem a cada dia (neste caso, 5 em 27, menos de 20%), mostra que ter um antivírus sempre atualizado ainda representa esperança de proteção.

Os antivírus tradicionalmente são preparados para — como o próprio nome diz — combater vírus e vermes; e em geral são muito eficientes contra estes inimigos. Spywares e Keyloggers, porém, são uma categoria diferente de programas nocivos, que tiveram sua incidência intensificada nos últimos tempos. Os antivírus estão adaptando seus mecanismos para serem eficientes também contra este tipo de mal.

Reconhecer fraudes recebidas por e-mail e não ser enganado por elas, na maioria dos casos, é muito fácil. Em primeiro lugar, poderia citar algumas “regras de ouro” simples que ajudam sempre:

• Não seja ingênuo! Desconfie, observe, avalie e critique o que você recebe por e-mail ou encontra na web.
• Na dúvida, não clique! Pense duas vezes e tenha certeza antes de clicar em qualquer link que vê pela frente.

Mas você poderia me perguntar: Desconfiar de quê? Observar o quê?

Então, vamos pegar um exemplo prático e identificar algumas características essenciais que se aplicam à maioria das fraudes enviadas por correio eletrônico. A imagem apresentada aqui é a reprodução de uma das muitas fraudes que recebo por e-mail diariamente. Este exemplo recente (24 de julho) é de uma fraude que supostamente oferece fotos de orgia em uma “festa na FGV”.

[photopress:anatomia_scam_01.png,full,centered]

Destaquei na reprodução da fraude alguns elementos principais. Veja:

1. Antes de clicar, passe o ponteiro do mouse sobre o link e observe o endereço de destino, exibido na barra de estado do cliente de e-mail ou navegador web.
2. Observe o endereço de destino; quase sempre ele aponta para domínios suspeitos e estranhos, sites de hospedagem gratuita/anônima, em países longínquos etc.
3. Uma informação crucial: preste atenção no nome do arquivo ao final do link, principalmente a extensão após o último ponto, que determina o tipo do arquivo. Neste caso, é .cmd. EXE, COM, SCR, CMD, BAT, PIF, CPL, VBS, MSI são extensões executáveis pelo sistema operacional Windows, o que significa que o arquivo trata-se de um programa, e não de imagem ou vídeo, como sugere a fraude. Este programa deve ser provavelmente um verme (causador de danos), um spyware (rouba-senhas), ou outro programa maléfico.
4. Fique atento às divergências que muitas vezes o próprio texto mal-elaborado da fraude deixa como pista. A mensagem diz que o arquivo deve se chamar facul.zip, quando o link indica que é na verdade fotos.cmd.
5. Por falar em texto mal elaborado, ortografia e gramática certamente não são o forte dos fraudadores. Erros de português são muito comuns em fraude e este exemplo não foi exceção: escreveram “poribido” ao invés de “Proibido”.

Pronto. Em poucos segundos, você consegue ver diversas pistas escancaradas que revelam que a mensagem se trata de uma fraude.

Vale saber que boa parte das fraudes que circulam no Brasil atualmente consiste em mensagens que inventam uma desculpa para atrair a curiosidade do ingênuo destinatário e fazê-lo clicar em um link, aceitar o download e executar um programa em Windows (se você usa Linux ou MacOS, você está a salvo destas ameaças). O exemplo apresentado é assim.

O que varia é o tema da mensagem de fraude: dívidas, traição, sexo, escândalo, promoção… sempre na esperança de algum desses temas atingir a atenção, curiosidade e ingenuidade de uma parte dos milhões de pessoas para as quais cada fraude é enviada.

Se você quiser ver mais centenas de exemplos de fraudes, organizados por grupos de tema, recomendo meu artigo Scam – A fraude inunda o correio eletrônico. Assuste-se ou divirta-se, mas, sempre: previna-se!

No fim de julho, recebi mais uma variante do boato do celular de graça:

Notebook Ericsson Gratis

A empresa Ericsson está distribuindo gratuitamente “lap tops” com o objetivo de se equilibrar com a Nokia, que está fazendo o mesmo. A Ericsson deseja assim aumentar sua popularidade. Por esse motivo, está distribuindo gratuitamente o novo Lap Top WAP.

Tudo o que é preciso fazer é enviar uma cópia deste e-mail para 8 (oito) conhecidos. Dentro de 2 (duas) semanas você receberá um Ericsson T18. Se a mensagem for enviada para 20 (vinte) ou mais pessoas, você poderá receber um Ericsson R320. Importante! É preciso enviar
uma cópia do e-mail para [email protected]

Não é trote. Funciona.
Boa Sorte!!!

Ericsson e Nokia têm que aguentar esse boato circulando há alguns anos, ressurgindo de tempos em tempos como aconteceu agora. Será que alguém realmente acredita que Nokia e Ericsson vão dar celular de graça, que a AmBev vai dar kit de cerveja, que Bill Gates vai dar dólares e por aí vai, tudo isso promovendo a condenável prática do spam (isto é, fazendo as pessoas enviarem dezenas de e-mails para seus contatos)? Francamente!…

Para mais informações:

• Quatro Cantos – Lenda Ericsson e Nokia
• Comunicado Ericsson do Brasil – E-mail Falso
• Terra Informática – E-mail que promete kit com cerveja da AmBev é trote
• Segurança de E-mail, veja Spam – E-mails Não-solicitados Indevidos
• Vírus e Pragas, veja Boatos e Lendas Urbanas

É, acredite nestes boatos, faça spam e ganhe prêmios, quem sabe um chapéu de trouxa.