quinta-feira, 17 de dezembro de 2009

Google certifica farmácias que vendem Viagra ilegalmente?




Veja se dá para acreditar na cara de pau desses spammers... O pior é que tem muita gente que vê um email desses, acredita, vai ao site e compra o produto lá. Depois vão querer reclamar com o Google...

quinta-feira, 26 de novembro de 2009

E-mail marketing só não é spam com dupla opção de receber (double opt-in)

Hoje recebi uma reclamação de uma empresa, porque a denunciei em um fórum público por envio de emails não solicitados. O dono da empresa alegou que já me conhecia e perguntou muito indignado "porque eu não falei com ele antes de publicar a denúncia".

Devolvo a pergunta: por que ele não falou comigo antes de começar a me enviar emails não solicitados - a me enviar SPAM?

O que os empresários brasileiros precisam saber é que não adianta reclamar:

Uma vez que você faz a opção de comprar listas de emails para promover seu site e seus produtos, você está sujeitando sua empresa ao risco de ser denunciada pelos destinatários.

No caso em questão, foi uma denúncia em fórum público que irritou o empresário, mas ele precisa entender que esse é o menor dos males. Os emails dessa empresa são filtrados pelo GMAIL, sendo entregues diretamente à pasta de SPAM.

Ficar irado comigo não muda o fato de que 
o Google está dizendo para todo mundo que sua empresa envia SPAM.



A única forma de email marketing que não deve ser considerada SPAM é a que envolve a DUPLA OPÇÃO DE RECEBER (double opt in).


O double opt in funciona da seguinte forma:


1 - Você pergunta ao visitante do seu site, no momento em que ele preenche um formulário, se ele quer receber seus informativos. Se ele não marcar a opção, você não envia emails para ele e ponto final.


2 - Após ser feita a opção de receber, você envia um e-mail para o endereço informado, com um link de confirmação. Você só começará a enviar emails para o endereço dessa pessoa DEPOIS que ela visitar o link. Afinal, algum engraçadinho pode ter visitado o seu site e digitado o endereço de outra pessoa, com a intenção de incomodá-la.


Ou seja, o visitante do seu site precisa afirmar que quer receber suas "newsletters" e confirmar clicando em um link que receberá em sua caixa postal. Antes disso, você não enviará emails para essa pessoa.


Se você resolver "pegar um atalho" comprando endereços de email e enviando mensagens em massa sem pedir autorização, não poderá reclamar se o endereço do seu site começar a aparecer nas listas negras de spammers.


Aliás, embora alguns spammers estejam afirmando o contrário com a intenção de confundir, o "Manual de Boas Maneiras" da ABEMD (Associação Brasileira de Marketing Direto) é claro e inequívoco a esse respeito:


"3. Opt in.

O primeiro recebimento é muito importante, porque marca o início da relação. É preciso ter permissão prévia (opt-in) antes do envio da primeira mensagem ao receptor. No caso de existir prévia e comprovável relação comercial ou social entre o Remetente e este Receptor, o envio de mensagem também é permitido."


Ou seja, sem sofisma, não envie e-mails sem permissão prévia e você nunca entrará em listas negras de spammers. Se decidir fazê-lo, esteja pronto para arcar com as conseqüências de ver o nome de sua empresa ao lado dos piores golpistas, estelionatários e demais criminosos da internet.

quarta-feira, 18 de novembro de 2009

Que vergonha, Americanas.com!



Hein? Que história é essa de precisar de 7 dias - SETE DIAS! - para parar de enviar e-mails para minha caixa postal?

Não existe motivo no mundo que justifique esse descalabro. Se você clica num link de opt-out, o sistema tem que descadastrar imediatamente o seu e-mail e você tem que parar de recebẽ-lo imediatamente, sem atrasos, desculpas ou blá-blá-blá.

A Americanas.com se comporta como um SPAMMER dos mais vadios e pilantras ao exibir essa vergonhosa mensagem em seu website quando clicamos no link praticamente invisível de descadastramento em suas mensagens promocionais.

Vergonhoso e odiento. A partir de hoje, todos os e-mails que eu vier a receber da Americanas.com serão denunciados com spam.

terça-feira, 17 de novembro de 2009

"Você foi sorteado para testar o novo Orkut" é um vírus!

Este golpe é engenhoso.

O email diz o seguinte:

"Olá!

Você foi um dos sorteados para experimentar o novo orkut.

Lançamos uma nova versão do orkut, venha testá-la. Você encontrará novas funcionalidades, navegação mais rápida e os mesmos grandes amigos!

Quer ir para lá agora? Clique aqui e teste o novo orkut agora mesmo!"

O link para o arquivo "www.orkut.com" não é "http://www.orkut.com", por isso sabemos que se trata de "phishing".

O truque usado por esses spammers aposta no fato de que a maioria dos usuários de hoje em dia não sabe ou não lembra que a extensão ".com" indica um tipo de arquivo executável do MS-DOS/Windows. Para a maior parte das pessoas, ".com" é apenas a extensão de um endereço de website!

Logicamente o arquivo www.orkut.com é um vírus, confira o resultado do escaneamento em http://www.virustotal.com/pt/analisis/aa28931f48e7643bf6f2a0a80493bd99f53c8d5e29e7b61e3a9dbde1297d7e0e-1258440514

A lição deste caso é que você deve também incluir a extensão ".com" em sua lista negra de arquivos potencialmente infectados com vírus, caso ainda não o tenha feito.

quarta-feira, 11 de novembro de 2009

Esqueceu sua senha naquele site em que nunca se cadastrou?

O título deste artigo não é uma pegadinha, mas um novo tipo de golpe detectado pela AVIRA e denunciado no artigo Social Engineering and the redefinition of spam (Engenharia social e a redefinição do spam). O primeiro passo do golpe consiste em cadastrar e-mails em algum serviço web, de preferência um serviço de mídia social, sem a solicitação do usuário.

Em seguida, o spammer envia aquele típico e-mail de boas vindas: "Parabéns por se cadastrar em nosso site, visite seu perfil no endereço http://...". Esse e-mail é suficiente para despertar a curiosidade de muita gente. Ao chegar ao link do e-mail, a vítima do spam chegará a página de login, onde poderá clicar no link "Esqueci minha senha": se a pessoa não se cadastrou no site, é lógico que ela não se lembrará de uma senha que nunca criou!

Os spammers que aplicam esse golpe são criativos e insistentes porque, caso você não clique no link de "recuperação de senha", eles enviam um e-mail de "notificação de comentários" em "sua página". Isso deve deixar muita gente curiosa o suficiente para cair no golpe. Se nada disso funcionar, eles ainda tentam enviar um e-mail para ressetar a senha.

Segundo a AVIRA, esse tipo de golpe está sendo aplicado em serviços como LinkedIn, Orkut, Twitter, Ning e outros. Os e-mails realmente vêm do domínio envolvido, o que o impede de serem filtrados pelos programas antispam.

Assim, a regra para evitar esse tipo de ataque é:

Se você não se lembra de ter feito o cadastro em um site ou serviço, muito provavelmente é porque não fez mesmo! 

Confiar na própria memória, neste caso, é muito mais seguro do que confiar em um spammer.

sábado, 7 de novembro de 2009

Bem vindo ao mundo das réplicas vagabundas – Série “Os piores spammers do mundo” - parte 2

Captura de tela do site de criminosos Watch Shop


Você certamente já recebeu e-mails desse pessoal que oferece cópias falsificadas de famosas marcas de relógios, como Rolex, Cartier e Breitling, entre outras. As quadrilhas que enviam esse tipo de spam mail estão entre as mais perigosas do mundo e são compostas por bandidos da pior espécie.

Captura de tela do site de criminosos Diamond Replicas

Exagero? Basta ver o que dizem as investigações sobre os métodos empregados por esse pessoal. Para começar, essas operações de produção e venda de produtos falsificados são ramificações do crime organizado internacional, sendo usadas para financiar operações de tráfico de drogas e armas, entre outros crimes. A produção desses bens falsificados é freqüentemente feita sob condições de trabalho escravo ou semi-escravo.

Captura de tela do site Exquisite Replicas

Edward Kelly, da Tileke & Gibbins International, uma empresa de advocacia especializada no combate à falsificação, conta ter visto, durante uma operação policial, trabalhadores acorrentados às máquinas e recebendo comida em potes para alimentar cachorros.

Cada mercadoria tem seu preço. Se alguém consegue vender um produto de luxo pela metade ou menos do preço normal, é porque está cortando custos onde não deveria. No caso, dos produtos falsificados, eles começam cortando os direitos trabalhistas e os direitos humanos das pessoas que produzem suas mercadorias.

Captura de tela do site de produtos falsificados Prestige Replicas

Mas os “cortes de custos” não param por aí. Quando esses falsificadores começam a agir na internet, nenhum crime é grande demais. Para começar, apresentam sites com aparência profissional, como esses que você vê ilustrando este artigo, mas a única forma que utilizam para promovê-los é o envio diário de milhões de spam mails, através de milhares de computadores infectados com vírus e cavalos de tróia. Usam milhares de domínios, a maior parte deles hoje em dia localizados na China, para fugir à aplicação das leis americanas e européias.

Captura de tela do site criminoso Luxury Replicas

Esses bandidos também não têm escrúpulos de usar seus dados de cartão de crédito para “ir às compras” em seu nome, nem oferecem nenhum tipo de garantia quanto à qualidade dos produtos oferecidos. Embora eles digam em todo o site que garantem isso ou aquilo, normalmente incluem, em uma página de difícil acesso ao usuário, um termo de isenção de responsabilidade em que, na prática, desmentem todas as garantias que dizem oferecer.



Na maior parte desses sites, ao decidir comprar o produto, você abrirá uma página de pedido em que exigem que você envie seus dados de cartão de crédito através de uma conexão insegura do tipo “http” em vez da conexão segura “https” obrigatória em toda loja virtual legítima.

Assim, não importa se estão vendendo relógios, bolsas ou jóias: fuja de vendedores de produtos falsificados. Na melhor das hipóteses, você receberá em sua casa um produto vagabundo de qualidade inconfundivelmente inferior, nem de longe parecidos com os que eles mostra\fFm nas fotos do site, e não terá a quem reclamar.

quinta-feira, 5 de novembro de 2009

Sites de Phishing: feitos para roubar seus dados

E-mail falso que copia os e-mails oficiais do Facebook

Se você recebeu algum e-mail nos últimos 15 dias, provavelmente já se deparou com uma mensagem como a da figura acima. Imitando de forma perfeita os e-mails de notificação do serviço de rede social Facebook, o e-mail alega que você atualizar seus dados de login. Ao clicar no link, o seu navegador web abrirá um endereço como http://www.facebook.(DIVERSOS CARACTERES ALEATÓRIOS).com/ . Veja um exemplo de uma dessas páginas:

Site falso (phishing site) com aparência idêntica à página de login do Facebook

Uma cópia perfeita perfeita da página de login do Facebook. Repare no alerta vermelho na barra de navegação do navegador Opera, indicando tratar-se de um site falso.

Como já vimos, os sites falsos - chamados de "phishing sites" - divulgados por spam são um problema generalizado na internet. Basicamente, o que os golpistas por trás desses emails e sites procuram é usar a credibilidade de empresas conhecidas para roubar você.

Phishing usando a marca do Banco Brasil

Os danos provocados pelo phishing afetam diretamente as pessoas que, de boa fé, respondem aos emails e preenchem os dados nos sites falsos, mas também causam prejuízos às empresas cujos nomes são usados para praticar esses crimes. Você sabe que conquistar a confiança das pessoas é uma tarefa difícil e trabalhosa. Uma reputação de confiabilidade é um ativo que você adquire após anos de esforços e muito investimento em sua imagem.

Phishing usando a marca do banco Santander

Os spammers que utilizam os golpes de phishing não se incomodam em destruir todo esse trabalho e investimento para assaltar os clientes dessas empresas. Eles são estelionatários, ladrões de identidade, bandidos tão desprezíveis quanto qualquer assaltante que aborda as pessoas nas ruas para roubar o dinheiro suado de suas carteiras.

Phishing usando a marca do HSBC

O mais incrível é que é extremamente simples evitar os golpes de phishing: basta observar o endereço do link! Quando você passa o mouse sobre um link em um e-mail, normalmente você pode ver, na parte inferior da tela, o endereço real do link. Caso não consiga achar esse endereço por algum motivo, clique COM O BOTÃO DIREITO DO MOUSE no link e, depois, clique em "Copiar link" ou "Copiar endereço do link" e cole em um editor de textos, como o bloco de notas do Windows, por exemplo.

Site de phishing finge ser do Orkut

Se o endereço do link não coincidir EXATAMENTE com o endereço real do site, trata-se de um site falso!

Entenda que um spammer pode copiar o estilo, o visual, os textos e todos os demais elementos do site de uma empresa... Mas há uma coisa que eles não podem roubar: o endereço do site original!

Se você sabe que o endereço do site do seu banco é www.NOMEDOBANCO.com.br, não abra qualquer link que não leve diretamente a esse endereço.

Phishing: site falso finge ser do MySpace

Os spammers, na tentativa de enganar, vão fazer de tudo para confundi-lo. Por exemplo:

1 - Criando subdomínios com o nome do site: www.NOMEDOBANCO.123abc.com.br . Neste caso, o domínio é 123.abc.com.br, sem nenhuma relação com o site www.NOMEDOBANCO.com.br

2 - Inserindo pequenos erros de digitação no endereço do site: www.NOMEDOBONCO.com.br

Não importa. Confira atentamente o endereço do site. Se não for idêntico, fuja dele. Em caso de dúvida, ligue para a empresa (pegue o número na LISTA TELEFÕNICA: nunca ligue para um número de telefone que tenha recebido em um e-mail suspeito!) e confirme a solicitação do e-mail antes de clicar em qualquer coisa, pois vários desses sites de phishing instalam cavalos de tróia em seu computador sem que você perceba, bastando acessar a página do site fajuto.

Obs.: As duas primeiras imagens deste artigo são capturas da tela do meu computador. As demais imagens são capturas do site www.phishtank.com, uma organização dedicada a combater a prática do phishing.

sábado, 24 de outubro de 2009

Cliente Bradesco: preste atenção ao endereço do site que está acessando!

Se um link em um e-mail ou website levar você, cliente do Bradesco, a um site cujo endereço NÃO comece com www.bradesco.com.br simplesmente caia fora desse site o quanto antes, sem hesitar, pois os fraudadores abriram a temporada de caça aos clientes do Bradesco, com sites cada vez mais bem feitos, planejados para roubar suas senhas e possibilitar que até o último centavo de cheque especial seja raspado de sua conta. Veja só este exemplo que recebi hoje:

Site falso (phishing site) muito bem feito tenta enganar clientes do Bradesco

Simplesmente puxaram o conteúdo completo do site oficial do Bradesco! O único detalhe aparente que permite identificar a fraude é o endereço na barra de navegação.

Mas os pilantras foram além. Veja:


Os criminosos criptografaram o código-fonte, criando uma dificuldade adicional para identificar o método utilizado para perpetrar a fraude e, portanto, a criação de meios para preveni-la.

Vale repetir: muita atenção ao endereço que você está acessando. Se não for exatamente igual ao do site que você quer acessar, saia dali e entre em contato com a instituição para confirmar ou afastar suas suspeitas.

sexta-feira, 23 de outubro de 2009

O Bradesco não envia e-mails de recadastramento de senhas


O Bradesco é um dos bancos que mais tem sido alvo de golpes. Praticamente todos os dias recebemos e-mails que fingem ser do Bradesco e oferecem a instalação de “módulos de segurança” (vírus) ou “recadastramento de dados” (roubo de senhas).

Hoje, recebi um desses e-mails de fraude e me surpreendi com o nível de detalhamento do site golpista. Realmente, se a pessoa se der ao trabalho de preencher tudo o que o site fajuto solicita aos clientes do Bradesco, os bandidos que fizeram o site poderão roubar até o último centavo de todas as suas contas e aplicações. Veja só algumas telas (clique nas imagens para ampliar):

1 - O site fajuto começa dizendo que você está em um ambiente "seguro e criptografado". Observe o alerta do Firefox no topo da tela.



2 - Na tela seguinte, o site começa a pedir dados, todos os dados necessários para roubar sua conta bancária.



3 - Os golpistas tiveram o cuidado de controlar a validação de dados de contas bancárias do Bradesco no site! Se você digitar um dado de conta inválido, o site dará um alerta, impedindo-o de prosseguir.



4 - O site continua pedindo dados incessantemente até chegar ao limite do ridículo, pedindo que você insira todos os valores de seu cartão de senhas de internet.



5 - A sofisticação chega ao ponto de pedir senha de teclado virtual:



Enfim, como dissemos em outro post, sua segurança na internet depende muito mais de bom senso do que de seu software de "internet security". Por mais bem feito que seja o site golpista, você precisa ter em mente a mensagem do título: nenhuma grande empresa - especialmente um banco - solicita dados de senha por e-mail. Nunca. Qualquer pedido desse tipo é sempre necessariamente falso e deve ser ignorado.

quarta-feira, 21 de outubro de 2009

Não compre Viagra ou Cialis na Canadian Pharmacy – Série “Os piores spammers do mundo” – Parte 1

Se você precisa comprar Viagra, Cialis ou qualquer outro medicamento controlado, faça um favor a si mesmo e vá ao médico, pegue uma receita e compre o produto numa drogaria confiável. Aquelas centenas de infames spam mails que você recebe todos os dias, incrivelmente, vêm todos de uma mesma quadrilha de bandidos cibercriminosos, cuja bandeira mais conhecida é a “Canadian Pharmacy”.

Canadian Pharmacy: na lista dos piores spammers do mundo, roubando identidades, espalhando vírus e enviando medicamentos falsificados

Sob o slogan “Order the cheapest medications now” (Compre agora os medicamentos mais baratos”), a operação criminosa “Canadian Pharmacy” envia dezenas de milhões de e-mails todas as semanas, usando uma rede de milhares de domínios descartáveis, redirecionamentos enganosos, tudo para escapar à vigilância dos serviços antispam.

Segundo o serviço SpamHaus, eles também usam redes de sites hackeados e de PC's infectados com vírus que funcionam como computadores zumbis de suas botnets.

Literalmente tudo nos sites da Canadian Pharmacy é rigorosamente falso: do selo de certificação de site seguro da Verisign até as pretensas “Associações Médicas” e farmacẽuticas que endossariam o site, tudo é meticulosamente forjado, falsificado, com a intenção de enganar e arrancar o dinheiro de visitantes descuidados.

Se você cair na tentação de experimentar os produtos da Canadian Pharmacy, esteja certo de que o menor dano que você poderá sofrer ocorrerá se eles simplesmente fugirem com seu dinheiro sem enviar medicamento algum. Há relatos de casos em que eles enviaram medicamentos falsificados, ricos em substâncias tóxicas que provocaram graves danos aos rins e ao fígado dos usuários incautos.

Enfim, a lição que surge do caso da Canadian Pharmacy é bem clara: jamais compre mercadoria alguma de empresas que promovem seus produtos enviando spam. O spam é uma forma de marketing nociva à imagem da empresa e nenhuma empresa séria usa esse tipo de recurso. Somente criminosos e golpistas, o tipo de gente cara-de-pau que não tem o menor zelo pela própria imagem é que pode considerar o envio de e-mails não solicitados como uma forma eficiente de ganhar dinheiro na internet.

segunda-feira, 19 de outubro de 2009

O alerta de infecção que quer infectar seu computador

A criatividade dos spammers parece não ter limites, sendo que alguns e-mails podem mesmo chegar a convencer um usuário pouco experiente. Um exemplo recente é um "alerta de vírus" enviado pela "Microsoft":

Falso alerta de vírus supostamente enviado pela Microsoft

É lógico que a Microsoft e, na realidade, nenhuma grande empresa, envia e-mails não-solicitados para seus clientes, muito menos e-mails com anexos quaisquer que sejam. Assim, é óbvio que o anexo é um vírus. Veja a análise do arquivo pelo antivírus AVIRA:

file: /home/alexis/Desktop/VirusTest/install.zip
last modified on date: 2009-10-19 time: 10:42:45, size: 30371 bytes
ALERT: install.exe <<< TR/Vilsel.ioa ; trojan ; Is the Trojan horse TR/Vilsel.ioa
ALERT-URL: http://www.avira.com/en/threats?q=TR%2FVilsel%2Eioa

Veja no site da Avira mais informações sobre essa família de cavalos de tróia.

Vale informar que as definições de vírus da versão 7.1.6.119 do AVIRA não foram capazes de detectar o malware, que só foi excluído após a atualização para a versão 7.1.6.122.

quinta-feira, 15 de outubro de 2009

O site www.golvoefacil.net não é da Gol - É vírus!

Que tal comprar passagens aéreas por R$ 0,99? Que sonho hein?

case de spam e phishing envolvendo o nome da Gol

Pois pode continuar sonhando. O e-mail acima é uma falsificação - também chamada de "phishing". Ao acessar o link no site fajuto golvoefacil.net (que NÃO PERTENCE À GOL!) você fará download de um vírus que, neste momento, é detectado por apenas alguns poucos softwares antivírus.

Virustotal: apenas 10 antivirus detectam esse cavalo de tróia

Muito provavelmente o seu software antivírus ainda não detecta esse cavalo de tróia.

A lição deste caso é velha, mas vale a pena repetir: se é bom demais para ser verdade, então provavelmente não é verdade...

quinta-feira, 1 de outubro de 2009

Spam e vírus: esse problema tem solução?

Spam e vírus: nada menos que 18 e-mails infectados em um único dia

A imagem acima mostra a quantidade de e-mails spam infectados com vírus que recebi em um único dia, de acordo com o antivírus CLAMAV.

Na verdade, o número foi muito maior, já que alguns vírus não foram detectados pelo CLAMAV e tive que identificá-los com o AVIRA , AVAST ou AVG.

Houve ainda um caso em que nenhum desses antivírus detectou coisa alguma e precisei recorrer ao site VirusTotal para identificá-lo. Veja a descrição do caso neste perfil de site no McAfee Site Advisor, em que apenas 7 programas antivírus de um total de 41 foram capazes de identificar o cavalo de tróia.

A primeira questão que quero abordar a partir desses resultados é o mito de que usuários Linux "não precisam" de softwares antivírus instalados em suas máquinas.

Para começar, penso que esse é um erro de lógica. O fato de que os sistemas Linux sejam praticamente imunes a vírus se usados com prudência não implica que você não precisa ter um antivírus. Afinal, será que você consegue dormir tranqüilo sabendo que tem todo aquele lixo exibido na imagem livre na sua máquina?

Sinceramente, prefiro saber que, no meu PC, só há código que eu decidi ter, sem nenhuma porcaria maliciosa criada por terceiros.

Em segundo lugar, os sistemas Linux não são à prova de erros, muito menos de erros cometidos por usuários inexperientes ou com pouco conhecimento do sistema.

Terceiro, minha máquina Linux não é uma ilha. A partir do momento em que entro na internet, uso programas de comunicação instantânea, e-mails e compartilhamento de arquivos, minha máquina começa a fazer parte de uma grande Babel de sistemas com as mais variadas configurações. Assim, sou responsável por toda contribuição que eu fizer, ainda que voluntariamente, a esse grande sistema chamado internet.

Todo usuário de computador responsável se preocupa em garantir que essa contribuição não seja ajudar a disseminar vírus ou programas maliciosos, inclusive repassando e-mails com lindos arquivos ou links infectadíssimos.

Há ainda uma segunda questão, que vale para todos os tipos de usuários, independente do sistema operacional.

A segurança de seu computador e de seus dados pessoais e financeiros depende de muito mais do que do antivírus ou pacote de "internet security" que você tenha instalado em sua máquina.

A segurança de seu computador depende, antes de mais nada, de seu bom senso.

Por exemplo, antes de clicar em um link de e-mail, verifique se você conhece a pessoa que o enviou e se há realmente alguma chance de que a mensagem seja autêntica, independente do quanto você acha que seu computador está protegido por todos os firewall, antivírus e antispywares do mundo.

Isso porque muitos dos e-mails que recebemos contém vírus e cavalos de tróia recentíssimos, que provavelmente não serão detectados pelo seu software de segurança. Dependendo do quanto a mensagem do spammer seja convincente, até o mais experiente usuário pode ser enganado em um momento de desatenção.

Por isso, procure informar-se, mantenha-se atento e incentive seus amigos a fazer o mesmo. Porque não tem graça enviar um spam se todo mundo jogá-lo no lixo, não faz sentido criar um cavalo de tróia se ninguém cair no golpe.

A melhor maneira de combater os golpistas é aprendendo a não cair em golpes. E a gente aprende a não cair em golpes com informação, em vez de confiar demais em proteções automáticas que só protegem até o ponto em que o golpista não tenha aprendido a burlá-las.

sábado, 19 de setembro de 2009

"Thank you for setting the order No.475456" - Não abra que é vírus!

email infectado com vírus

Mensagens com o assunto "Thank you for setting the order No. 475456" (veja a figura acima) ou semelhantes estão invadindo as caixas postais em quantidade assustadora, o que sugere uma epidemia do vírus Trojan.Downloader-77566, adicionado ao banco de dados do CLAM Antivírus no último dia 17 de setembro. Se vocẽ recebeu alguma mensagem parecida, examine seu sistema com um antivírus atualizado e, caso venha a receber nos próximos dias, não abra a mensagem antes de examiná-la com seu antivírus.

terça-feira, 25 de agosto de 2009

O velho truque das fotos no Twitter para roubar senhas

Todo mundo já recebeu aquele spam ao estilo "Tá aí (sic) as nossas fotos no motel", com um link para site de vírus ou para roubo de senhas. A novidade foi ver esse truque sendo aplicado no Twitter:

Um amigo envia uma mensagem direta aparentemente inocente: velho truque em nova mídia

Clique para ampliar a imagem


Apaguei o nome da pessoa porque parece que ela foi vítima do golpe. A mensagem acima é uma mensagem direta para minha conta no Twitter. Ao clicar no link, o alerta do serviço bit.ly:

O Bit.ly alerta que o site foi marcado como fraude
Clique para ampliar a imagem


O site foi marcado como fraude. Para variar, resolvi clicar no link, para ver o que acontecia:

Página falsa para roubar dados de login no Twitter
Clique para ampliar a imagem


Uma página idêntica à página inicial do Twitter. É claro que, se você fizer o login nessa página, alguém vai roubar sua senha.

O que atraiu minha atenção foi que o domínio parecia legítimo. Por isso, resolvi apagar no navegador o endereço da página fajuta e ver o que aparecia:

Site aparentemente legítimo de empresa aparentemente idônea: vítima de hacking?
Clique para ampliar a imagem



Um site aparentemente legítimo de uma empresa aparentemente idônea, com endereço e telefone para contato.

Se as coisas são como parecem:

1 - O site dessa empresa foi hackeado e a página falsa do Twitter foi inserida lá sem conhecimento da empresa.

2 - Meu contato no Twitter recebeu a mensagem, clicou no link e teve seus dados de login roubados.

3 - O bandido que roubou os dados enviou a mensagem através da conta de meu amigo, para conseguir acesso a número ainda maior de contas no Twitter.

A maior prejudicada, no caso, é a empresa que está sendo usada pelo esquema criminoso. Já tendo sido denunciada aos serviços de antispam, em breve poderá ser desindexada do Google ou, ainda, ver seu domínio associado a sites de fraude...

segunda-feira, 10 de agosto de 2009

Nota de falecimento falsa é o cúmulo da maldade

Deveria haver limites até para a falta de ética. Mas não há. Spammers estão enviando uma nota de falecimento falsa, com um nome bastante comum:

Falsa nota de falecimento leva a link para download de vírus

Esses spammer estão apostando na probabilidade de que milhões de pessoas conhecerão alguém com esse nome e, chocadas, clicarão no link falso, fazendo download do vírus:

Não clique no link do e-mail da nota de falecimento - é vírus!

Esse tipo de spammer, mais do que todos os outros, merece cadeia braba. Mexer com ambição de pessoas que acham que vão se dar bem ganhando na "loteria da Microsoft" é uma coisa. Já mexer com o amor das pessoas dando falsa notícia de morte é muita inconseqüência, muito egoísmo abjeto... É crime e dos piores.

quinta-feira, 30 de julho de 2009

"Microsoft" enviando oferta de Viagra para seu e-mail???

O que é um SPAM? Um spam é uma mensagem indesejada que você recebe em qualquer mídia. Pode ser um email, mas também pode ser um resultado de pesquisa nos buscadores que não tenha a mínima relação com o assunto pesquisado por você. Também pode ser uma mensagem comercial em um fórum de discussões não comerciais, um comentário em um blog sem nenhuma relação com o tópico da postagem, um scrap ofensivo de um desconhecido em uma rede social, um tweet sem sentido no Twitter...

Repare: quem define o que é SPAM é você, que recebe a mensagem. Não existe lei, regra ou sequer uma convenção que o obrigue a desejar ou não uma mensagem. Se você quiser realmente aproveitar aquela oferta irresistível, então a mensagem que a oferece não é spam para você, embora eu possa defini-la como spam.

Em um site comunitário, o conceito de spam é formado a partir dos termos de uso do site, da interpretação dos administradores do site e da comunidade de usuários. Alguns sites e comunidades são mais rígidos, outros mais frouxos, mas todos implementam algum tipo de repressão ao spam.

Porque, se não houver repressão, o site, a comunidade ou serviço web se torna inútil, porque você terá que atravessar talvez 1000 mensagens comerciais indesejadas antes de achar uma mensagem útil. Isso por si só já é suficiente para afastar todos os usuários legítimos do site - isto é, justamente aquelas pessoas a quem o spammer pretendia vender.

Ou seja, o spam mata a galinha dos ovos de ouro. Afasta os usuários legítimos e torna qualquer mídia imprestável até mesmo para fins de spam.

É preciso repetir: quem define o que é spam é a PESSOA QUE RECEBE a mensagem, não a pessoa que a envia.

Por isso, não acredite, delete imediatamente, jogue no filtro antispam e denuncie o remetente de todas as mensagens que se tiverem a cara de pau de dizer que "esta mensagem não pode ser considerada SPAM...".

Se a pessoa que enviou a mensagem está preocupada com a possibilidade de que você venha a considerá-la spam, ela não deveria tê-la enviado em primeiro lugar.

É lógico que os spammers profissionais, fraudadores e criminosos não deixam de tentar convencê-lo de que vocẽ não tem o direito de controlar as mensagens que quer receber.

Veja esta autonomeada "Oferta em destaque de parceiro da Microsoft":

Spammer usa indevidamente o nome da Microsoft para induzir o receptor do e-mail a clicar em link para site com vírus

Bem, agora a "Microsoft" está veiculando spam de vendedores de Viagra? E eu não posso considerar essa mensagem um spam?

Obviamente, trata-se de fraude. Se você clicar no link "Unsubscribe" (cancelar recebimento) você fará download de um belo vírus para dentro do seu computador...

Em miúdos: qualquer email indesejado pode sim ser considerado spam... Principalmente se disser que não pode!

quarta-feira, 29 de julho de 2009

Usando o vírus da gripe suína para espalhar vírus de computador

Hoje recebi um spam muito mais bem feito do que a média, o que me motivou a criar este blog. O objetivo aqui é registrar as observações de quem recebe centenas de spams diariamente praticamente desde que entrei na internet, lá em idos de 1994.

O e-mail chegou com uma aparência bastante convincente, inclusive o nome do remetente fajuto, (os spammers deveriam indenizar todas as pessoas homônimas por dano moral), e trata de um assunto que é do interesse de todos: a prevenção da gripe suína. Veja:

Spam que finge oferecer informações sobre a gripe suína

Clique para ampliar a imagem


É claro que você sabe que não deve clicar em links de e-mails... Não sabe?

Bem, muita gente não sabe. Assim, fui olhar o código-fonte da mensagem:


Código-fonte de mensagem spam, com visualização do cabeçalho
Clique para ampliar a imagem


No cabeçalho imenso, vemos que o spam foi enviado através de um servidor da Locaweb. A Locaweb verificou o e-mail por vírus usando o Clam Antivírus, como se pode ver nestas linhas do cabeçalho:

X-Virus-Scanned: clamav-milter 0.95.1 at hm1707.locaweb.com.br
X-Virus-Status: Clean
X-SPF-Scan-By: smf-spf v2.0.2 - http://smfs.sf.net/

A mensagem apareceu como limpa. Como o spammer conseguiu passar pelo antivírus da Locaweb?

Em primeiro lugar, o URL (isto é, endereço do link) foi codificado e reduzido usando o serviço Bit.ly, muito conhecido de quem usa o Twitter. Esse serviço, do mesmo modo que seu também muito conhecido concorrente TinyURL, oferece a vantagem de reduzir a alguns poucos caracteres endereços longos de páginas web, uma necessidade quando suas comunicações estão limitadas a 140 caracteres. O problema que é esse tipo de URL codificada torna impossível de identificar numa única olhada o endereço original, o que é um prato cheio para spammers.

Para identificar o endereço original, instalei uma extensão no Firefox chamada Bit.ly Preview, que permite visualizar o endereço original no Firefox, ao passar o mouse sobre o link. Veja:

Visualização do link no Bit.ly mostra o nome do arquivo, visualizar.com
Clique para ampliar a imagem


Então, nosso spammer teve trabalho... Prevendo a possibilidade de que alguém quisesse conferir o endereço, ele codificou duas vezes o URL, primeiro usando o serviço URL Split e, em seguida, reduzindo-o a um url curto do Bit.ly. Mas parece que o esforço compensou porque, até o momento em que escrevo estas linhas, o link fajuto já havia recebido mais de 1300 cliques!

Finalmente, resolvi acessar o link. Adivinhe o que aconteceu?

Download de arquivo .com, provavelmente infectado com vírus
Clique para ampliar a imagem


Está aí, um suspeitíssimo arquivo com extensão .com!

Examinei o arquivo com o antivírus AVAST! , com as definições de vírus mais recentes mas esse antivírus não foi capaz de detectar qualquer tipo de malware nesse arquivo. Como, obviamente, trata-se de vírus, podemos supor que se trata ou de uma ameaça de dia zero ou de uma falha no próprio Avast.

Finalmente, enviei o arquivo para análise através do e-mail virus@avast.com e do formulário para envio de amostras de vírus da Symantec:

Formulário para envio de amostras de vírus para a Symantec
Clique para ampliar a imagem


As lições desse caso são claras:

1 - Não clique em URLs cuja origem não seja visível: links do tinyurl e do bit.ly são furada você não puder visualizar o endereço original!

2 - Se não usa o Firefox, faça esse favor a si mesmo e passe a usá-lo. O download é aqui!

3 - Se já usa o Firefox, instale extensões para visualizar URLs codificadas.

4 - Não saia clicando em links que recebeu por e-mail só porque ele parece ser mais bem redigido do que a média ou por tratar de um assunto que parece urgente, importante ou atual.