terça-feira, 25 de agosto de 2009

O velho truque das fotos no Twitter para roubar senhas

Todo mundo já recebeu aquele spam ao estilo "Tá aí (sic) as nossas fotos no motel", com um link para site de vírus ou para roubo de senhas. A novidade foi ver esse truque sendo aplicado no Twitter:

Um amigo envia uma mensagem direta aparentemente inocente: velho truque em nova mídia

Clique para ampliar a imagem

Apaguei o nome da pessoa porque parece que ela foi vítima do golpe. A mensagem acima é uma mensagem direta para minha conta no Twitter. Ao clicar no link, o alerta do serviço bit.ly:

O Bit.ly alerta que o site foi marcado como fraude
Clique para ampliar a imagem

O site foi marcado como fraude. Para variar, resolvi clicar no link, para ver o que acontecia:

Página falsa para roubar dados de login no Twitter
Clique para ampliar a imagem

Uma página idêntica à página inicial do Twitter. É claro que, se você fizer o login nessa página, alguém vai roubar sua senha.

O que atraiu minha atenção foi que o domínio parecia legítimo. Por isso, resolvi apagar no navegador o endereço da página fajuta e ver o que aparecia:

Site aparentemente legítimo de empresa aparentemente idônea: vítima de hacking?
Clique para ampliar a imagem


Um site aparentemente legítimo de uma empresa aparentemente idônea, com endereço e telefone para contato.

Se as coisas são como parecem:

1 - O site dessa empresa foi hackeado e a página falsa do Twitter foi inserida lá sem conhecimento da empresa.

2 - Meu contato no Twitter recebeu a mensagem, clicou no link e teve seus dados de login roubados.

3 - O bandido que roubou os dados enviou a mensagem através da conta de meu amigo, para conseguir acesso a número ainda maior de contas no Twitter.

A maior prejudicada, no caso, é a empresa que está sendo usada pelo esquema criminoso. Já tendo sido denunciada aos serviços de antispam, em breve poderá ser desindexada do Google ou, ainda, ver seu domínio associado a sites de fraude...
Postado por às Nenhum comentário:
Marcadores: , ,

segunda-feira, 10 de agosto de 2009

Nota de falecimento falsa é o cúmulo da maldade

Deveria haver limites até para a falta de ética. Mas não há. Spammers estão enviando uma nota de falecimento falsa, com um nome bastante comum:

Falsa nota de falecimento leva a link para download de vírus

Esses spammer estão apostando na probabilidade de que milhões de pessoas conhecerão alguém com esse nome e, chocadas, clicarão no link falso, fazendo download do vírus:

Não clique no link do e-mail da nota de falecimento - é vírus!

Esse tipo de spammer, mais do que todos os outros, merece cadeia braba. Mexer com ambição de pessoas que acham que vão se dar bem ganhando na "loteria da Microsoft" é uma coisa. Já mexer com o amor das pessoas dando falsa notícia de morte é muita inconseqüência, muito egoísmo abjeto... É crime e dos piores.
Postado por às Nenhum comentário:
Marcadores: , ,

quinta-feira, 30 de julho de 2009

"Microsoft" enviando oferta de Viagra para seu e-mail???

O que é um SPAM? Um spam é uma mensagem indesejada que você recebe em qualquer mídia. Pode ser um email, mas também pode ser um resultado de pesquisa nos buscadores que não tenha a mínima relação com o assunto pesquisado por você. Também pode ser uma mensagem comercial em um fórum de discussões não comerciais, um comentário em um blog sem nenhuma relação com o tópico da postagem, um scrap ofensivo de um desconhecido em uma rede social, um tweet sem sentido no Twitter...

Repare: quem define o que é SPAM é você, que recebe a mensagem. Não existe lei, regra ou sequer uma convenção que o obrigue a desejar ou não uma mensagem. Se você quiser realmente aproveitar aquela oferta irresistível, então a mensagem que a oferece não é spam para você, embora eu possa defini-la como spam.

Em um site comunitário, o conceito de spam é formado a partir dos termos de uso do site, da interpretação dos administradores do site e da comunidade de usuários. Alguns sites e comunidades são mais rígidos, outros mais frouxos, mas todos implementam algum tipo de repressão ao spam.

Porque, se não houver repressão, o site, a comunidade ou serviço web se torna inútil, porque você terá que atravessar talvez 1000 mensagens comerciais indesejadas antes de achar uma mensagem útil. Isso por si só já é suficiente para afastar todos os usuários legítimos do site - isto é, justamente aquelas pessoas a quem o spammer pretendia vender.

Ou seja, o spam mata a galinha dos ovos de ouro. Afasta os usuários legítimos e torna qualquer mídia imprestável até mesmo para fins de spam.

É preciso repetir: quem define o que é spam é a PESSOA QUE RECEBE a mensagem, não a pessoa que a envia.

Por isso, não acredite, delete imediatamente, jogue no filtro antispam e denuncie o remetente de todas as mensagens que se tiverem a cara de pau de dizer que "esta mensagem não pode ser considerada SPAM...".

Se a pessoa que enviou a mensagem está preocupada com a possibilidade de que você venha a considerá-la spam, ela não deveria tê-la enviado em primeiro lugar.

É lógico que os spammers profissionais, fraudadores e criminosos não deixam de tentar convencê-lo de que vocẽ não tem o direito de controlar as mensagens que quer receber.

Veja esta autonomeada "Oferta em destaque de parceiro da Microsoft":

Spammer usa indevidamente o nome da Microsoft para induzir o receptor do e-mail a clicar em link para site com vírus

Bem, agora a "Microsoft" está veiculando spam de vendedores de Viagra? E eu não posso considerar essa mensagem um spam?

Obviamente, trata-se de fraude. Se você clicar no link "Unsubscribe" (cancelar recebimento) você fará download de um belo vírus para dentro do seu computador...

Em miúdos: qualquer email indesejado pode sim ser considerado spam... Principalmente se disser que não pode!
Postado por às Nenhum comentário:
Marcadores:

quarta-feira, 29 de julho de 2009

Usando o vírus da gripe suína para espalhar vírus de computador

Hoje recebi um spam muito mais bem feito do que a média, o que me motivou a criar este blog. O objetivo aqui é registrar as observações de quem recebe centenas de spams diariamente praticamente desde que entrei na internet, lá em idos de 1994.

O e-mail chegou com uma aparência bastante convincente, inclusive o nome do remetente fajuto, (os spammers deveriam indenizar todas as pessoas homônimas por dano moral), e trata de um assunto que é do interesse de todos: a prevenção da gripe suína. Veja:

Spam que finge oferecer informações sobre a gripe suína

Clique para ampliar a imagem

É claro que você sabe que não deve clicar em links de e-mails... Não sabe?

Bem, muita gente não sabe. Assim, fui olhar o código-fonte da mensagem:


Código-fonte de mensagem spam, com visualização do cabeçalho
Clique para ampliar a imagem

No cabeçalho imenso, vemos que o spam foi enviado através de um servidor da Locaweb. A Locaweb verificou o e-mail por vírus usando o Clam Antivírus, como se pode ver nestas linhas do cabeçalho:

X-Virus-Scanned: clamav-milter 0.95.1 at hm1707.locaweb.com.br
X-Virus-Status: Clean
X-SPF-Scan-By: smf-spf v2.0.2 - http://smfs.sf.net/

A mensagem apareceu como limpa. Como o spammer conseguiu passar pelo antivírus da Locaweb?

Em primeiro lugar, o URL (isto é, endereço do link) foi codificado e reduzido usando o serviço Bit.ly, muito conhecido de quem usa o Twitter. Esse serviço, do mesmo modo que seu também muito conhecido concorrente TinyURL, oferece a vantagem de reduzir a alguns poucos caracteres endereços longos de páginas web, uma necessidade quando suas comunicações estão limitadas a 140 caracteres. O problema que é esse tipo de URL codificada torna impossível de identificar numa única olhada o endereço original, o que é um prato cheio para spammers.

Para identificar o endereço original, instalei uma extensão no Firefox chamada Bit.ly Preview, que permite visualizar o endereço original no Firefox, ao passar o mouse sobre o link. Veja:

Visualização do link no Bit.ly mostra o nome do arquivo, visualizar.com
Clique para ampliar a imagem

Então, nosso spammer teve trabalho... Prevendo a possibilidade de que alguém quisesse conferir o endereço, ele codificou duas vezes o URL, primeiro usando o serviço URL Split e, em seguida, reduzindo-o a um url curto do Bit.ly. Mas parece que o esforço compensou porque, até o momento em que escrevo estas linhas, o link fajuto já havia recebido mais de 1300 cliques!

Finalmente, resolvi acessar o link. Adivinhe o que aconteceu?

Download de arquivo .com, provavelmente infectado com vírus
Clique para ampliar a imagem

Está aí, um suspeitíssimo arquivo com extensão .com!

Examinei o arquivo com o antivírus AVAST! , com as definições de vírus mais recentes mas esse antivírus não foi capaz de detectar qualquer tipo de malware nesse arquivo. Como, obviamente, trata-se de vírus, podemos supor que se trata ou de uma ameaça de dia zero ou de uma falha no próprio Avast.

Finalmente, enviei o arquivo para análise através do e-mail virus@avast.com e do formulário para envio de amostras de vírus da Symantec:

Formulário para envio de amostras de vírus para a Symantec
Clique para ampliar a imagem

As lições desse caso são claras:

1 - Não clique em URLs cuja origem não seja visível: links do tinyurl e do bit.ly são furada você não puder visualizar o endereço original!

2 - Se não usa o Firefox, faça esse favor a si mesmo e passe a usá-lo. O download é aqui!

3 - Se já usa o Firefox, instale extensões para visualizar URLs codificadas.

4 - Não saia clicando em links que recebeu por e-mail só porque ele parece ser mais bem redigido do que a média ou por tratar de um assunto que parece urgente, importante ou atual.
Postado por às Nenhum comentário:
Marcadores: ,
Assinar: Postagens (Atom)