O problema dos sinalizadores de segurança para navegadores web

Observe na figura acima um típico spam disfarçado de correspondência comercial. A intenção desse tipo de golpe é, quase sempre, levar o usuário a um endereço falso onde seu computador será infectado automaticamente por um cavalo de troia.

Esse tipo de risco pode ser evitado se o usuário simplesmente recusar-se a clicar em links de emails. A questão é que muitas pessoas são distraídas ou, simplesmente, não têm consciência do risco, e clicam nos links.

É nesse momento que os sinalizadores de segurança para navegadores web deveriam entrar em ação, bloqueando o acesso ao site malicioso. Caso você não saiba do que estou falando, tratam-se de extensões que você instala em seu navegador web que deveriam indicar a segurança de acesso a um website através de um código de cores semelhante ao dos sinais de trânsito: vermelho = site malicioso; amarelo = site com problemas ou ameaças menos graves; verde = site seguro. Na barra lateral deste blog você encontra links para download de diversas opções de sinalizadores de perigo, sendo os mais populares o McAfee SiteAdvisor e o MyWOT.

Na maior parte dos casos, esses programas bloqueiam o acesso do internauta aos endereços identificados como maliciosos (sinal vermelho). O problema é que esses sinalizadores apresentam pelo menos 4 deficiências graves:

1 - São lentos demais na detecção de sites maliciosos. Quando esses sinalizadores finalmente detectam um endereço malicioso, milhares de internautas já terão sido infectados.

2 - São lentos demais na reabilitação de sites limpos. Um site que tenha sido atacado uma única vez pode ter seu domínio sinalizado como "perigoso" por várias semanas após a limpeza, o que causa prejuízos a empreendedores honestos que tenham sido simples vítimas de bandidos.

3 - Bloqueiam um domínio inteiro por causa de um único endereço. Um site legítimo, com centenas ou milhares de páginas legítimas, corre o risco de ser inteiramente bloqueado por causa de um único endereço infectado por hackers.

4 - Definem como confiáveis domínios que contêm páginas maliciosas. Nenhum desses sinalizadores bloqueia domínios como o bit.ly, por exemplo, embora ele seja extensamente utilizado por spammers e bandidos virtuais para escapar ao bloqueio de programas de segurança.

Enfim, esses sinalizadores oferecem apenas uma proteção retroativa, sendo incapazes de proteger o internauta dos sites infectados mais recentemente. Por exemplo, o url contido no email que abre este artigo passou em branco por todas extensões testadas no teste de URLs do site VirusTotal, confira na figura abaixo.



Ou seja, quem confiasse em qualquer uma das 33 extensões testadas pelo VirusTotal estaria agora em maus lençóis. Observe agora o resultado do teste do arquivo baixado nesse endereço.



Apenas 7 entre 44 antivírus foram capazes de detectar a presença do vírus no arquivo infectado. Ou seja, é como sempre dissemos aqui: a única maneira de garantir sua segurança é usar sua inteligência.

Jamais clique em um link enviado a você por email, mesmo que você conheça o remetente. Afinal, o email que você recebeu através do endereço do seu amigo pode não ter sido enviado por ele, mas por um spammer que infectou o computador de seu amigo!

Assim, caso você ache que o link pode conter alguma informação realmente importante para você, copie o endereço e cole no teste de URLs em http://www.virustotal.com/. Mas não se engane caso os sinalizadores de navegação digam que o endereço é "seguro": verifique se o endereço gerou algum download de arquivo e clique no link para conferir a análise do arquivo baixado.

Vale alertar que nem mesmo esse método é totalmente seguro. Alguns spammers incluem em seus email links que, na verdade, redirecionam para outro endereço, escapando até mesmo à análise do VirusTotal. Assim, tenha como regra jamais clicar em links de emails, só adotando este método alternativo em último caso.

E o meteoro da Rússia não demorou a virar SPAM

Os spammers estão sempre aproveitando assuntos quentes para enganar incautos com "imagens inéditas", "vídeos exclusivos", "revelações chocantes".

É claro que clicar no link leva apenas a um cavalo de troia para detonar o seu computador reduzindo-o a um simples zumbi para a prática de crimes.

Como sempre, apenas pouco mais de 1/3 dos antivírus listados no site VirusTotal consegue detectar o cavalo de troia. Como sempre, quando o assunto é segurança, confie no seu cérebro, em vez de confiar em softwares!

O FBI quer depositar 10 milhões de dólares em sua conta bancária

Variação do famoso "Golpe 419", também conhecido "Esquema Nigeriano": desta vez, é o FBI que quer depositar uma fortuna na sua conta bancária!

Seria ótimo se fosse verdade! A julgar pelo que dizem os spammers, nós ganhamos na loteria várias vezes por dia e há sempre um ditador africano disposto a depositar milhões em nossas contas bancárias. Tudo o que precisamos fazer para receber a "bolada" é pagar uma pequena quantia, algo em torno de 10 mil dólares, na conta para cobrir as "taxas" e "despesas" dos golpistas.

Nem é preciso dizer que eles passam a mão no dinheiro da vítima e a deixam a ver navios. Numa variação desse golpe, a pessoa acaba sendo induzida a abrir detalhes sobre sua conta bancária, deixando-a aberta para que os vigaristas possam se servir à vontade.

Algumas das quadrilhas que aplicam esse tipo de golpe são tão sofisticadas que até dispõem de estruturas físicas convincentes para iludir as vítimas mais céticas, aquelas que viajam até o local para checar as informações constantes do e-mail. Esse tipo de golpe é chamado de "Esquema Nigeriano" ou "Golpe 419", referindo-se ao artigo do código penal da Nigéria que tipifica o crime de estelionato - no Brasil seria chamado de "Golpe 171".

A variação que apresentamos no topo deste post envolve o nome do FBI. Basicamente, o "FBI" teria encontrado 10 milhões e 500 mil dólares em seu nome em um banco na África (sempre lá!) e você precisa apenas liberar uma graninha para receber a bolada.

Esse tipo de golpe também está sendo aplicado via SMS, normalmente envolvendo premiações em sorteios em que você nunca se inscreveu ou em loterias em que você nunca jogou.

Para se proteger desse tipo de golpe, bastaria entender o princípio simples de que nada é de graça. Os golpistas sempre apelam ao desejo humano universal, quase irresistível, de conseguir um grande benefício sem esforço, sem investimento. Mas, como dissemos, esse apelo é quase irresistível, por isso, lembre-se sempre de, pelo menos, checar o domínio do e-mail enviado pelo remetente. Repare que o endereço do remetente alegadamente é "fbidirectoroffice@fbi.gov", mas o endereço de resposta, que aparece na imagem como "Reply to" é "fbidirectoroffice@superposta.com".

Está na cara que o FBI jamais enviaria um email por um domínio e pediria uma resposta por outro, portanto, pode deletar esse email e escapar a mais essa variação do Esquema Nigeriano.

Phishing envolvendo o Registro.br

O Registro.br é órgão oficial no Brasil que, como diz o próprio nome, é responsável pelo registro de domínios ".br". Por isso, é no mínimo estranho quando alguém que não é proprietário de um site recebe um email como o que exibimos na figura 1.

Figura 1 - Email de phishing tenta se passar pelo Registro.br

Qualquer webmaster experiente sabe só de olhar que o email acima é uma falcatrua. Se não fosse por outros motivos, bastaria observar o domínio para o qual o link está apontando. Como você pode ver na figura acima, no canto inferior esquerdo, o Mozilla Thunderbird indica que o domínio linkado é  "madeirasnorteflora.com.br".

Entretanto, lá vamos nós testar o link e ver o que acontecerá caso algum desavisado resolva clicar nele. Para começar, copiamos e colamos o endereço do link no VirusTotal. Observe a figura 2.

Figura 2 - Somente um serviço aponta o domínio como malicioso

Casos como esse mostram a fragilidade desses sinalizadores de websites, que acendem uma luzinha verde ou vermelha conforme o site seja classificado como "seguro" ou "malicioso". O domínio em questão provavelmente pertence a uma empresa idônea que foi vítima de hackers, por isso a maioria os sinalizadores ainda dão sinal verde para esse domínio. Veja na figura 3 o que acontece quando visitamos o link.

Figura 3 - Link drive-by baixa um arquivo suspeito em seu computador

Visitar o link, provavelmente, já é o suficiente para infectar um PC com sistema operacional Windows, como se pode ver na figura acima. Baixamos o arquivo para uma pasta segura e, em seguida, enviamos para análise no VirusTotal. Veja o resultado na figura 4.

Figura 4 - O arquivo é um cavalo de troia bem conhecido, detectado por cerca de metade dos programas antivírus do VirusTotal.

Enfim, trata-se de mais um golpe de phishing para instalar softwares maliciosos em sua máquina. Para variar, fica o velho conselho que é preciso repetir sempre: nunca clique em links de emails, a menos que:

1 - Você conheça o remetente
2 - Você tenha autorizado explicitamente o remetente a enviar emails para você
3 - O domínio do link coincida com o domínio alegado pelo remetente. Se o dominío do remetente é 123 e o link do email aponta para XYZ, não clique no link por nenhum motivo.

Finalmente, lembre-se: quem tem pressa pega o telefone e liga para você. Emails nunca são "urgentes". Se a mensagem disser que você deve se apressar, delete-a sem hesitar!