sábado, 3 de maio de 2008

Phishing: Claro FotoTorpedo

Olá amigos,

Hoje irei mostrar um Phishing muito bem elaborado, simples mas muito bem elaborado.

O autor tomou os devidos cuidados para que ele não tivesse erros de Português, até que enfim deram uma trégua para nosso amigo Português.

A finalidade desse e-mail é direcionar o usuário para uma página que será a página responsável por enganar a pessoa que clicar no link.

Desta vez não haverá a lista de explicações de erros, pois não há erros aparentes como os outros tipos de Phishing já mostrados. E como pode se ver na imagem do e-mail o endereço apontado é para um domínio criado pelo fraudador que não pertence aos órgãos de registro de domínios brasileiros, ou seja, é um domínio .com.

Clique na imagem para ampliar.


Ao clicar no link o usuário é direcionado para um site onde a primeira coisa que aparece é uma mensagem informando que a versão do "MACROMEDIA FLASH PLAYER" está desatualizado. Conforme imagem abaixo:

Clique na imagem para ampliar.


Ai podemos ver um erro que a grande maioria de usuários de Internet não iria perceber, é o nome do componente, que não é mais Macromedia e sim Adobe, há algum tempo atrás a empresa Adobe adquiriu a empresa Macromedia e alterando o nome do componente para Adobe Flash Player.

Pois bem, clicando no botão "Ok" aparece uma página montada pelo fraudador, pois uma atualização do componente Adobe Flash Player ocorre dentro da página da empresa Adobe, ou seja, para atualizar o componente o usuário é direcionado para uma página de atualização no próprio site da empresa Adobe e não como ocorre página mostrada, em que o arquivo se encontra no mesmo endereço da página.

Clique na imagem para ampliar.


No Post inicial deste Blog mencionei sobre uma técnica mais avançada do que a mostrada em Posts anteriores, pois bem, este Phishing utiliza e muito bem essa técnica que envolve os itens abaixo:

1 - E-mail simples e objetivo;
2 - Sem erros gramaticais de Português;
3 - Criação de um endereço que confunda a pessoa que está lendo o e-mail;
4 - Montagem de uma página para solicitar uma ação do usuário, assim não apontando diretamente para um arquivo;
5 - Utilizar uma ação corriqueira, como a atualização de um componente para visualizar corretamente a página.

Acredito que tenha ficado claro a técnica utilizada, assim facilitando a identificação de novos e-mails fraudulentos.

Bom, então até o próximo Post.

quinta-feira, 1 de maio de 2008

Phishing: Imposto de Rende 2008 - Receita Federal

Olá amigos,

No dia 30/04/2008 acabou o prazo para os contribuintes realizarem a Declaração do Imposto de Renda para Pessoa Física, mas para o grupo de crackers que se aproveita de situações como essas o período de roubo de informações ainda está só começando.

E para isso, se aproveitam das possibilidades de erros que podem acontecer no mundo da tecnologia, como mencionado no próprio e-mail, um congestionamento nos servidores da Receita Federal, foi lançado na rede um e-mail informando que houve um problema na entrega da Declaração do IR, ai uma pessoa que tenha deixado a sua declaração para última hora e que passou o último dia preocupado com isso é uma vítima em potencial a cair nessa armadilha.

Mas para quem já conhece as maneiras básicas de identificar essas fraudes, ou que acompanhe este Blog, isso não é um problema.

Vamos para nossa rápida análise do e-mail.

Clique na imagem para ampliar.



Explicações:

1 - Como é de costume, não há trégua para nosso amigo Português, há algumas falhas gramaticais e neste e-mail ainda há o problema de que em certos momentos o texto torna-se confuso.

2 - Como mencionado no próprio site do da Receita Federal, não é enviado nenhum comunicado via e-mail à contribuintes sem a prévia autorização do mesmo.

3 - O que o fraudador quis dizer com Dirf ? Acredito que seja DIRPF (Declaração de Imposto de Renda Pessoa Física), será que é o nome da patroa dele ?? "Ooohh! Dirf, traiz pra mim um cafezinho !!".

4 - E aqui está o endereço do arquivo, que como muitos aponta para um endereço que claramente não é o da Receita Federal do Brasil, e também aponta diretamente para um arquivo executável com a extensão .exe.

5 - E o mais interessante que ainda há ousadia de marcar um período para clicar no link e ter o computador infectado por um vírus que roubará os dados bancários.

Pois bem, mais um e-mail fraudulento que se aproveita de alguma situação que está em evidência.

Até o próximo Post.

terça-feira, 29 de abril de 2008

Phishing: Caso Isabella Nardoni

Olá amigos,

As vezes me pergunto, será que as pessoas que realizam o Phishing têm algum escrúpulo ? Talvez algumas tenham, mas sempre há aquelas que não tem. E se aproveitam de algumas situações em que a grande população está chocada.

Pois bem, estou falando sobre isso porque neste Post irei mostrar um e-mail de Phishing recente, que se aproveitando do caso da menina de 5 anos, chamada Isabella Nardoni. A grande maioria deve acompanhar o caso ou saber alguma coisa sobre isso.

Então vamos lá.

Clique na imagem para ampliar.



Explicações:

1 - Como é de costume o pobre coitado de nosso Português foi castigado novamente, os problemas são todos de falta de acentuações das palavras. A palavra “Vídeo” em nenhum momento está com seu devido acento agudo. Será que o autor tentou dar um ar gringo ao e-mail ? Acredito que isso não passaria nos padrões de Redação da Globo, que segundo o logotipo no corpo do e-mail sugere como emitente.

2 - A Globo e nenhum outro meio de comunicação envia notícias através de e-mails que não tenham sido solicitados através de um cadastro prévio realizado no site, como é o caso de “Newsletters”.

3 - Outra coisa muito usado neste tipo de fraude é mostrar alguma coisa que dê credibilidade ao que está sendo informado, e para isso foi colocado um link para uma notícia publicada no portal G1 da Globo mostrando a cronologia do caso (http://g1.globo.com/Noticias/SaoPaulo/0,,MUL386739-5605,00.html).

4 - E como não pode deixar de ser, o tão esperado link malicioso, reparem que em nenhum momento o endereço aponta para algum arquivo executável, como por exemplo as extensões .exe, .com, .src e algumas outras. Neste caso ele aponta para um arquivo .php que é apenas um arquivo de página da Internet, assim tentando driblar um dos cuidados para não cair neste golpe, ou seja, "não clicar em endereços que levem diretamente para algum executável de qualquer e-mail que não se conheça o remetente". Mas esse arquivo .php que irá realizar o direcionamento para o arquivo malicioso.

5 - E por fim o autor tenta orientar o leitor a seguir um procedimento para que o arquivo não seja salvo no computador e sim executado no momento do download.

Pois bem, este é mais um Phishing que tenta utilizar a curiosidade das pessoas para que o propósito do autor seja alcançado.

Até o próximo Post.

Phishing: O Boticário

Olá,

Para nosso primeiro e-mail estarei mostrando um Phishing bem simples, pode se perceber que o autor não se preocupou em criar uma grande formatação para tentar enganar, mas somente em fazer com que a vítima caísse no golpe.

Para mostrar cada item no e-mail foram colocadas setas vermelhas com uma numeração, que indica o item a ser comentado.

Clique na imagem para ampliar.


Explicações:

1 - Perceba que logo no começo o fraudador já comete um erro de Português, acredito que ele tentou escrever Parabéns, e justamente é o nome que ele diz ter como contato.

2 - Um outro descuido foi a data limite da promoção ser inferior a data de envio do e-mail, que está logo abaixo do Assunto, no início do e-mail. Ou seja, a promoção já estava vencida quando este e-mail foi recebido.

3 - Neste item o autor tenta de qualquer maneira fazer com que a pessoa que recebeu o e-mail acredite que se trata de um e-mail verdadeiro, chegando a dizer que é seguro pois o vale-presente está no nome da possível vítima e somente será retirado com a apresentação do RG, pois bem, porque esses dados não são apresentados no e-mail como maneira de mostrar que o e-mail é verdadeiro, nem o nome completo da pessoa que está recebendo o e-mail foi mencionado.

4 - Aqui ele coloca um dos endereços do site da O Boticário, com a mesma finalidade do item 3, tentar fazer com que a pessoa que está lendo o e-mail acredite que o e-mail é legítimo.

5 - E neste último item, justamente o mais importante para de descobrir uma fraude, o endereço onde está hospedado o arquivo malicioso. No corpo do e-mail há o link "BAIXAR O FORMULÁRIO", que aponta para um endereço que visivelmente não é um dos endereços da empresa O Boticário, de alguma maneira o fraudador conseguiu hospedar o arquivo no servidor da "Pontificia Universidad Católica del Perú" (http://www.pucp.edu.pe/).

No momento da publicação deste Post o arquivo já não estava mais disponível.

Gostaria de explicar que somente o ato de ler este tipo de e-mail não faz com que o computador seja infectado, um procedimento ainda deve ser realizado, que é executar o arquivo que o e-mail aponta. Hoje estão sendo utilizadas outras maneiras de fazer com que a possível vítima execute o arquivo, mas gostaria de mostrar isso em um futuro Post, onde mostrarei um e-mail que se utiliza dessa técnica.

Então até o próximo Post.

PS: Comente este Post ou envie o seu e-mail suspeito para ser publicado neste blog no endereço fraudesonline@gmail.com

segunda-feira, 28 de abril de 2008

Apresentação e Qual a finalidade deste Blog.

Olá amigo visitante,

A finalidade do Blog "Fraudes On-line" será publicar com uma certa periodicidade os e-mails fraudulentos em língua portuguesa que estão circulando pela Internet.

E para iniciar gostaria do contar um pouco sobre o que são e quais as finalidades desses e-mails.

Técnica conhecida como Phishing, vêm da palavra Fishing (do Inglês), que significa "pescar", e como o próprio nome já diz, tem a finalidade de pescar alguma coisa, e como se trata de uma técnica no meio eletrônico, uma das principais finalidades dessa técnica é pescar dados, ou seja, adquirir de alguma forma eletrônica dados pessoais ou confidenciais, como dados de contas bancárias, senhas, números de cartões de crédito e etc. de alguma pessoa que seja vítima desse golpe.

E a forma mais utilizada atualmente é enviar de maneira massiva e-mails ou mensagens instantâneas, que tentam se passar por pessoas ou empresas idôneas, com o intuito de induzir a vítima fazer o download de um arquivo (programa) e que o mesmo seja executado, e neste momento é instalado um Vírus ou Keylogger que permite a invasão do computador pelo Cracker ou o mesmo vírus enviar pela Internet para o Cracker as informações que ele está programado para capturar.

Quando tentam se passar uma pessoa conhecida as mensagens são mais genéricas possíveis, para que não haja desconfiança por parte de quem lê a mensagem, já quando o fazem como empresa, são utilizados textos mais elaborados e até com logotipos das empresas, como instituições bancárias, lojas virtuais, instituições do governo e etc.

E cada vez mais essas mensagens estão ficando bem elaboradas e técnicas mais atuais estão sendo utilizadas. Tanto é que há algum tempo atrás uma maneira muito fácil de identificar essas fraudes era a grande quantidade de erros gramaticais, o pobre coitado "Português", não o da padaria (risos), era literalmente assassinado, ou melhor, esquartejado. Hoje em dia apenas esse cuidado não é o suficiente, outras medidas devem ser tomadas.

Nos próximos Posts, utilizando e-mails fraudulentos que circulam na Internet, irei demonstrar onde estão os erros. E espero contar com a ajuda de vocês, comentando os Posts ou enviando algum e-mail que pareça ser suspeito. Para enviar o seu e-mail suspeito para este blog envie para o endereço
fraudesonline@gmail.com

Então, até o próximo Post.