Golpes Por Emails

A Microsoft é a mais recente marca usada como isca por crakers brasileiros para induzir internautas a instalarem programas nocivos em suas máquinas. Para constatar o golpe, basta acessar a página www.suportemicrosoft.kit.net/, que até a manhã do último sábado ainda não havia sido tirada do ar.

A página mostra um falso alerta de segurança, que leva a um falso pacote de correções (SP1) do Windows. O texto também induz o usuário a desabilitar os programas de proteção de sua máquina, ao avisar: "Os programas de software antivírus podem interferir com a instalação do Windows SP1. Desative o software antivírus ao instalar o Security Pack." O golpe é aplicado por meio de spam enviado para milhares de usuários de uma vez, como denunciou no início da semana passada o Museu do Spam, ao publicar o e-mail-armadilha intitulado "Windows - Pacote de Segurança - Dezembro 2002". (http://museudospam.subversao.com/ace...o.php?spam=550)

Uma semana antes, a Microsoft já havia se referido a uma mensagem semelhante, e divulgou uma nota (http://www.microsoft.com/brasil/pr/2..._nota_mert.stm) *em seu site garantindo que "não tem como política de comunicação com seus clientes o envio de mensagens eletrônicas não solicitadas, muito menos para a instalação de qualquer programa ou correção". A empresa também informa que "toda e qualquer atualização dos sistemas operacionais da Microsoft é feita por meio do WIndows Update" (http://www.windowsupdate.com/) e que este serviço é "a única fonte oficial de atualização para o usuário".

Os intrusos valem-se da desatenção e despreparo dos internautas, principalmente dos iniciantes, que todo dia se integram à rede. Para enganar os incautos, a mensagem traz explicitamente o endereço http://v4.windowsupdate.microsoft.co...curitypack.exe para download do arquivo, mas quem deixar o mouse sobre o link verá que ele aponta para http://www.suportemicrosoft.kit.net/securitypack.exe, um endereço que obviamente não pertence à Microsoft.

Este tipo de truque não é novo e, como já se disse no início, a Microsoft é apenas a "isca da vez", mas o que chama a atenção é a quantidade de golpes semelhantes, em português, surgidos no Brasil no segundo semestre de 2002. Nos últimos meses, a quantidade de programas, sites e serviços danosos disfarçados de alguma utilidade esteve bem acima da média histórica nacional.

São atualizações de segurança, discadores, identificadores de chamadas telefônicas, software para Internet Banking, ofertas de dinheiro fácil e até serviços como conhecidos de grandes portais sendo usados com fins maléficos. Na maior parte das vezes, nomes de grandes empresas foram indevidamente associados aos golpes. Até os endereços de e-mail foram forjados para parecer que as mensagens partiam destas empresas. O pior é que muitos desses arquivos passaram intactos nos testes feitos com programas antivírus.

Em alguns casos, os arquivos foram enviados para análise nos laboratórios das empresas especializadas e só depois disso o código maléfico foi detectado e catalogado.

Para fazer um balanço e servir de alerta, reunimos os principais exemplos surgidos nos últimos meses. Alguns endereços eletrônicos continuam ativos e ainda se pode conferir o engodo "ao vivo"; em outros casos, os endereços foram denunciados e já estão desativados.
Armadilhas para internautas

O golpe mais comum foi o do falso software para controle da conta bancária. Tão comum que acabou gerando um alerta na rede, com o seguinte teor: "Existe um novo golpe na Internet. Estão mandando um e-mail, supostamente enviado por um banco (Itaú, HSBC, Banrisul, Real ABN Amro-Bank, Bradesco, Bank Boston) orientando o cliente a baixar um programa que vem juntamente com o e-mail. Após a instalação do programa, os piratas eletrônicos conseguem capturar dados sigilosos, como as senhas bancárias. Eu já recebi dois destes e-mails (HSBC e Itaú) e estes vieram até com o logotipo dos bancos".

Esta mensagem contém informações verdadeiras, mas traz no final a conhecida frase "repasse aos seus conhecidos" e, como ocorre freqüentemente nestes casos, o propósito acabou sendo desvirtuado no trânsito pela Internet. Até os notórios spammers do Diar/Econoshop se valeram (http://www.infoguerra.com.br/misc/golpes/econoshop.htm) desta corrente-alerta e passaram a divulgá-la como se fossem seus "patrocinadores", aproveitando para também divulgar seus produtos miraculosos (eliminador de celulite, modelador muscular sem esforço, controlador de "ar" na conta de água, etc.).

Na véspera deste Natal ainda andou circulando uma falsa mensagem (http://www.infoguerra.com.br/misc/golpes/itau.htm) do banco Itaú, que indicava um endereço para download de um suposto software do banco. O link, no entanto, apontava para um arquivo também instalado em servidores do Kit.Net. O falso link ainda está ativo em www.netconsky1.kit.net/showtime.exe.

Em agosto foi identificada uma das primeiras mensagens dessa série de supostos softwares para Internet Banking. Tratava-se de um arquivo que visava os clientes do Banco do Brasil. O arquivo foi enviado para ser analisado pela Trend Micro, que constatou a presença de um trojan batizado de Troj_Mite.A, capaz de capturar e enviar para um intruso tudo o que o usuário digita no teclado do computador. A McAfee também analisou o arquivo e trouxe mais detalhes de seu funcionamento, porém batizou-o com o nome de Backdoor-AJX. (http://vil.nai.com/vil/content/v_99661.htm)

A página foi tirada do ar pelo provedor, mas cerca de um mês depois uma nova mensagem circulava, trazendo o mesmo arquivo de antes, mas desta vez o domínio bancobrasil.org foi registrado, apenas para poder ludibriar mais facilmente os clientes do banco. Atualmente, o site www.bancobrasil.org apresenta a mensagem de que o domínio foi suspenso por ordem da administração da empresa registrante, mas o endereço ainda está em nome de um certo Jorge Luiz Sá de Souza, que supostamente mora na cidade de Belém, no Pará.

Mensagens dirigidas a clientes de outros bancos, como Banrisul e HSBC, podem ser vistas aqui (http://www.infoguerra.com.br/misc/golpes/bancos.htm). Percebe-se que os textos eram os mesmos, havia apenas a adaptação ao banco correspondente. Neste caso, o arquivo para todos eles podia ser baixado do endereço http://www.internetbank.kit.net/ispynow.exe, que já foi desativado.

Contas da Embratel

O nome da Embratel também foi usado por golpistas eletrônicos que enviaram aos internautas mensagens com o seguinte teor: "A Embratel está com uma facilidade única para todo mundo que faz um 21. A sua conta de telefone pode ser consultada a cada mês via Internet, de forma detalhada. Você pode cadastrá-la para débito automático, pagar via débito em conta corrente, imprimir o boleto bancário ou a fatura completa. Gostou da novidade? Para cadastrar sua conta de telefone, clique aqui". Clicando-se no link, baixava-se um arquivo que estava hospedado na página http://www.embcnt21.hpg.com.br, a qual apresenta atualmente a mensagem de que "foi removida por desrespeitar o termo de serviço hpG".

Este arquivo também foi enviado para a Trend Micro, que identificou um trojan batizado de SPBina102.A (http://www.trendmicro.com/vinfo/viru...A102.A&VSect=T) . Segundo a empresa, este programa tem a capacidade de recolher várias informações sobre a máquina atingida e enviá-las para um endereço de e-mail. Depois de executar essa rotina, abre um discador (figura abaixo) que pode ser configurado para fazer conexões pelo modem.

Uma das formas de detectar as fraudes associadas aos nomes de grandes empresas é perceber os erros de ortografia que invariavelmente estão presentes nas mensagens dos golpistas.
Assim como existem arquivos criados com o fim de lesar os usuários de Internet, também há sites com o mesmo objetivo. Um que já está famoso, que desaparece e depois de um tempo reaparece, é o Netvia0800.cjb.net. Este site promete uma inexistente conexão banda larga de 256 Kbps via 0800, sem necessidade de qualquer tipo de modem e por apenas R$ 24,90. Por ano (!). Quem baixar o discador que faria esta conexão verá que é o mesmo usado pelo provedor Rede Livre, portanto não poderá funcionar como o site indica. InfoGuerra já tentou saber a posição do Rede Livre sobre o uso indevido de seu discador, mas não recebeu resposta.

A página do Cjb.net é sempre redirecionada para outro endereço gratuito, normalmente do hpG. O nome associado ao site, ao qual se chega por intermédio de um dos endereços de e-mail usados pelos golpistas, é o de William Volcov, que aparentemente também é DJ e possui até um site registrado em seu nome, www.wylfe.com. Um leitor atento já identificou várias páginas hospedadas no hpG relacionadas ao nome de Volcov (www.xau.hpg.ig.com.br, www.muitavibe.hpg.ig.com.br, www.bomtiver.hpg.ig.com.br e outras), mas a maioria já foi denunciada e retirada do ar por desrespeitar o termo de serviço do provedor. No entanto, ainda se pode acessar a página www.djvolcov.hpg.ig.com.br e constatar o banner que leva ao golpe do 0800.

Um comentário:

  1. Cansado de pagar faturas erradas ?

    Então acesse: TELEXFREE

    Ligue para mais de 40 países Fixo e celular Mensalidade de apenas U$49,90 Teste agora por 1 hora. É GRÁTIS
    http://www.telexfree.com/ad/douglas20

    ResponderExcluir