você está aqui: Home  → Colunistas  →  Legaltech

Golpe Virtual da Caixa passa a circular esta semana

Por José Antonio Milagre

Data de Publicação: 25 de Agosto de 2009

Mais um Golpe de Phishing Scam passou a circular na manhã desta terça-feira (25 de agosto de 2009) na Internet. Por meio dele, o usuário recebe um e-mail aparentemente de "CAIXA", com o assunto "Componente Atualizado Caixa", com um texto que certamente foi revisto por um professor de português (ao contrário de muitos que circulam onde percebe-se claramente que o atacante peca em sua gramática):

Your browser may not support display of this image.

Ao analisarmos as propriedades do E-mail verificamos na verdade que se trata de um e-mail "[email protected]", o que por si já é suficiente para constatar a fraude. Ao analisarmos o header (cabeçalho do e-mail), nota-se que os criminosos utilizam o serviço "privatedns", com Ips alocados fora do Brasil:

Return-path: <[email protected]>
Envelope-to: [email protected]
Delivery-date: Tue, 25 Aug 2009 10:37:39 -0300
Received: from ip-67-205-74-71.static.privatedns.com ([67.205.74.71] helo=cl-t030-521cl.privatedns.com)
by servidor1.aquaticbrasil.com.br with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.69)
(envelope-from <[email protected]>)
id 1MfwDT-0005Mx-0o
for [email protected]; Tue, 25 Aug 2009 10:37:39 -0300
Received: from nobody by cl-t030-521cl.privatedns.com with local (Exim 4.69)
(envelope-from <[email protected]>)
id 1MfwD9-0001aJ-Cu
for [email protected]; Tue, 25 Aug 2009 18:37:19 +0500
To: [email protected]
Subject: Componente Atualizado CAIXA.
From: CAIXA <[email protected]>
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
Content-Transfer-encoding: 8bit
Reply-To: CAIXA <[email protected]>
Message-ID: <[email protected]>
X-Priority: 3
X-MSmail-Priority: High
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441
X-Mailer: iGMail [www.ig.com.br]
X-Originating-Email: [CAIXA]
X-Sender: CAIXA
X-Originating-IP: [201.201.120.121]
X-iGspam-global: Unsure, spamicity=0.570081 ? pe=5.74e-01 ? pf=0.574081 ? pg=0.574081
Date: Tue, 25 Aug 2009 18:37:19 +0500
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname ? cl-t030-521cl.privatedns.com
X-AntiAbuse: Original Domain ? legaltech.com.br
X-AntiAbuse: Originator/Caller UID/GID ? [99 99] / [47 12]
X-AntiAbuse: Sender Address Domain ? cl-t030-521cl.privatedns.com

Interessante que na falsa identidade, o criminoso tem o cuidado de utilizar imagens que realmente são do site do Banco. Veja, com trechos do código html:

<tr>

<td style="text-align: left; background-color: rgb(0, 0, 153);"><img

src="http://www.caixa.gov.br/_newimages/icaixa/header_caixa.jpg"

  alt="cef" style="" /><img style="width: 141px; height: 57px;" alt="bank"

  src="http://www.caixa.gov.br/_newimages/icaixa/O_banco_que_acredita.jpg" /></td>

</tr>

Então verificamos o link onde o suposto arquivo é baixado:

http://213.42.201.62/conn3.asp?http://www.caixa.gov.br/Modulo?card_id=3948298d8v9y589498veimv4y45r9er8v13

Note que o falsário usa o site da caixa como "querystring", apenas para iludir a rápida investida visual de um usuário menos atento.

Ao clicarmos no Link somos direcionados a um arquivo chamado "CAIXA.exe". Este arquivo, testado em nosso laboratório, instala um código kernel mode que prejudica o acesso ao site da maioria dos bancos brasileiros, capturado dados digitados, teclado virtual e os remetendo via ftp para o criminoso. (Embora o código também tenha função para envio de e-mail).

Se recebeu este e-mail, não o execute, apague imediatamente. Se já executou, desconecte a máquina da Rede e procure um especialista.

Sobre o autor

José Antonio Milagre possui MBA em Gestão de Tecnologia da Informação pela Universidade Anhanguera. É Analista de Segurança e Programador PHP e C, Perito Computacional em São Paulo e Ribeirão Preto, Advogado Especializado em Direito da Tecnologia da Informação pelo IPEC-SP, graduado pela ITE-Bauru, Pós-Graduado em Direito Penal e Processual Penal pela Faculdade Fênix-SP, com defesa de tese e área de concentração Crimes Eletrônicos, Valor Probatório e o Papel da Computer Forensics, Extensão em Processo Eletrônico pela Universidade Católica de Petrópolis-RJ, Treinamento Oficial Microsoft MCP, Certificação Mobile-Forensics UCLAN-USA/2005, Professor Universitário nos cursos de TI e Direito da Anhanguera Educacional e de Direito e Perí­cia Eletrônica na Legal Tech em Ribeirão Preto-SP , Professor da Pós-Graduação em Direito Eletrônico pela UNIGRAN, Dourados/MS (Perí­cia Computacional), Professor da Pós-Graduação em Segurança da Informação do Senac-Sorocaba, Professor da Pós-Graduação em Computação Forense da Universidade Presbiteriana Mackenzie. Vice-Presidente da Associação Brasileira de Forense Computacional e Presidente da Comissão de Propriedade Intelectual e Segurança da Informação da OAB/SP 21 a . Subsecção, membro do Comitê de Comércio Eletrônico da FECOMERCIO-SP, membro do GU LegislaNet e TI Verde da SUCESU-SP e palestrante convidado SUCESU-ES. Professor Convidado LegalTech, UENP-Jacarezinho, UNESP, FACOL, ITE, FGP, nas áreas de Segurança da Informação, Direito Digital e Repressão a crimes eletrônicos. Co-Autor do Livro "Internet: O Encontro de dois mundos, pela Editora Brasport, ISBN 9788574523705, 2008.

Veja a relação completa dos artigos desta coluna