você está aqui: Home → Colunistas → Legaltech
Por José Antonio Milagre
Data de Publicação: 25 de Agosto de 2009
Mais um Golpe de Phishing Scam passou a circular na manhã desta terça-feira (25 de agosto de 2009) na Internet. Por meio dele, o usuário recebe um e-mail aparentemente de "CAIXA", com o assunto "Componente Atualizado Caixa", com um texto que certamente foi revisto por um professor de português (ao contrário de muitos que circulam onde percebe-se claramente que o atacante peca em sua gramática):
Your browser may not support display of this image.
Ao analisarmos as propriedades do E-mail verificamos na verdade que se trata de um e-mail "[email protected]", o que por si já é suficiente para constatar a fraude. Ao analisarmos o header (cabeçalho do e-mail), nota-se que os criminosos utilizam o serviço "privatedns", com Ips alocados fora do Brasil:
Return-path: <[email protected]> Envelope-to: [email protected] Delivery-date: Tue, 25 Aug 2009 10:37:39 -0300 Received: from ip-67-205-74-71.static.privatedns.com ([67.205.74.71] helo=cl-t030-521cl.privatedns.com) by servidor1.aquaticbrasil.com.br with esmtps (TLSv1:AES256-SHA:256) (Exim 4.69) (envelope-from <[email protected]>) id 1MfwDT-0005Mx-0o for [email protected]; Tue, 25 Aug 2009 10:37:39 -0300 Received: from nobody by cl-t030-521cl.privatedns.com with local (Exim 4.69) (envelope-from <[email protected]>) id 1MfwD9-0001aJ-Cu for [email protected]; Tue, 25 Aug 2009 18:37:19 +0500 To: [email protected] Subject: Componente Atualizado CAIXA. From: CAIXA <[email protected]> MIME-Version: 1.0 Content-type: text/html; charset=iso-8859-1 Content-Transfer-encoding: 8bit Reply-To: CAIXA <[email protected]> Message-ID: <[email protected]> X-Priority: 3 X-MSmail-Priority: High X-Mailer: Microsoft Office Outlook, Build 11.0.5510 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441 X-Mailer: iGMail [www.ig.com.br] X-Originating-Email: [CAIXA] X-Sender: CAIXA X-Originating-IP: [201.201.120.121] X-iGspam-global: Unsure, spamicity=0.570081 ? pe=5.74e-01 ? pf=0.574081 ? pg=0.574081 Date: Tue, 25 Aug 2009 18:37:19 +0500 X-AntiAbuse: This header was added to track abuse, please include it with any abuse report X-AntiAbuse: Primary Hostname ? cl-t030-521cl.privatedns.com X-AntiAbuse: Original Domain ? legaltech.com.br X-AntiAbuse: Originator/Caller UID/GID ? [99 99] / [47 12] X-AntiAbuse: Sender Address Domain ? cl-t030-521cl.privatedns.com
Interessante que na falsa identidade, o criminoso tem o cuidado de utilizar imagens que realmente são do site do Banco. Veja, com trechos do código html:
<tr> <td style="text-align: left; background-color: rgb(0, 0, 153);"><img src="http://www.caixa.gov.br/_newimages/icaixa/header_caixa.jpg" alt="cef" style="" /><img style="width: 141px; height: 57px;" alt="bank" src="http://www.caixa.gov.br/_newimages/icaixa/O_banco_que_acredita.jpg" /></td> </tr>
Então verificamos o link onde o suposto arquivo é baixado:
http://213.42.201.62/conn3.asp?http://www.caixa.gov.br/Modulo?card_id=3948298d8v9y589498veimv4y45r9er8v13
Note que o falsário usa o site da caixa como "querystring", apenas para iludir a rápida investida visual de um usuário menos atento.
Ao clicarmos no Link somos direcionados a um arquivo chamado "CAIXA.exe". Este arquivo, testado em nosso laboratório, instala um código kernel mode que prejudica o acesso ao site da maioria dos bancos brasileiros, capturado dados digitados, teclado virtual e os remetendo via ftp para o criminoso. (Embora o código também tenha função para envio de e-mail).
Se recebeu este e-mail, não o execute, apague imediatamente. Se já executou, desconecte a máquina da Rede e procure um especialista.
José Antonio Milagre possui MBA em Gestão de Tecnologia da Informação pela Universidade Anhanguera. É Analista de Segurança e Programador PHP e C, Perito Computacional em São Paulo e Ribeirão Preto, Advogado Especializado em Direito da Tecnologia da Informação pelo IPEC-SP, graduado pela ITE-Bauru, Pós-Graduado em Direito Penal e Processual Penal pela Faculdade Fênix-SP, com defesa de tese e área de concentração Crimes Eletrônicos, Valor Probatório e o Papel da Computer Forensics, Extensão em Processo Eletrônico pela Universidade Católica de Petrópolis-RJ, Treinamento Oficial Microsoft MCP, Certificação Mobile-Forensics UCLAN-USA/2005, Professor Universitário nos cursos de TI e Direito da Anhanguera Educacional e de Direito e Perícia Eletrônica na Legal Tech em Ribeirão Preto-SP , Professor da Pós-Graduação em Direito Eletrônico pela UNIGRAN, Dourados/MS (Perícia Computacional), Professor da Pós-Graduação em Segurança da Informação do Senac-Sorocaba, Professor da Pós-Graduação em Computação Forense da Universidade Presbiteriana Mackenzie. Vice-Presidente da Associação Brasileira de Forense Computacional e Presidente da Comissão de Propriedade Intelectual e Segurança da Informação da OAB/SP 21 a . Subsecção, membro do Comitê de Comércio Eletrônico da FECOMERCIO-SP, membro do GU LegislaNet e TI Verde da SUCESU-SP e palestrante convidado SUCESU-ES. Professor Convidado LegalTech, UENP-Jacarezinho, UNESP, FACOL, ITE, FGP, nas áreas de Segurança da Informação, Direito Digital e Repressão a crimes eletrônicos. Co-Autor do Livro "Internet: O Encontro de dois mundos, pela Editora Brasport, ISBN 9788574523705, 2008.