2006-02-23

Trojan é isso aqui

Aproveitando que todo mundo na Internet que não está falando da Katilce está falando de malware, eis um fino exemplo de trojan, que encontrei numa das minhas caixas postais na terça-feira. Um montão de gente já viu isso, certo?

De: ruthes@ig.com.br
Para: (conjunto de letras geradas automaticamente, interpretadas pelo provedor como pertencentes à minha conta de email)
Assunto: A5I5UT - [Departamento de Cobranças] - D8C8UU

Departamento de Cobrança

Conforme solicitação, estamos enviando o link onde detalhamos os valores correspondente a sua divida que ainda está pendente em nosso estabelecimento. Para maiores esclarecimento, acesse o conteúdo detalhado no link abaixo.

--Visualizar Carta de Cobranca--

Helders Advogados Associados
Av. Brigadeiro Faria de lima, 640 Centro
Direito Penal, Comercial e Trabalhista
helders_advs@hotmail.com


Ouse clicar no link e abrirá uma página Web igualmente tosca, hospedada no kit.net, contendo uma repetição da ameaça de cobrança e o link de download do trojan:

Comunicado Urgente:

Prezado Sr(a), Conforme vossa solicitação, estamos enviando um demonstrativo dos valores que estão sendo cobrados de V. S.ª, lembrando ainda que o não pagamento poderá gerar processo judicial. Estamos à disposição para eventuais esclarecimentos através do nosso link abaixo. Atenciosamente, Escritório de Advocacia e cobranças.

--Para maiores detalhes, e ou imprimir fatura do debito, clique aqui:--

Departamento de Cobrança
Williaws Borges Freitas
Belo Horizonte, Janeiro de 2006


Finalmente, o trojan.
Como ele é um programa de Windows (está bem claro que ele foi gerado pelo Microsoft Visual Studio), destrinchei o código no Mac OS X, onde é incapaz de rodar, sem o mínimo desassossego. Como prova, eis alguns strings de interface e códigos legíveis do arquivo (sem edição, mantendo cada um dos inúmeros erros de português):

This program cannot be run in DOS mode.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\ParametersFirewallPolicy\StandardProfile\EnableFirewall

O Banco do Brasil, está implantado mais um modulo de segurança nas transações através da internet. Agora você poderá usufruir da mais moderna tecnologia em transações on-line. Para aderir ao sistema de acesso super seguro, basta seguir os procedimentos abaixo:

Novo sistema de segurança do Internet Banking Caixa
Clientes da caixa agora poderá desfrutar no novo sistema de segurança recentemente implantado, com este novo sistema, o cliente contará com a mais moderna técnica de proteção em ambiente totalmente seguro. Aderindo ao novo sistema de segurança, você estará em primeiro plano, todos os processos do sistema operacional ficará aguardando você finalizar a sessão entre o seu computador e o servidor da caixa, impedindo assim que qualquer virus ou trojan possa funcionar enquanto você acessa a sua conta. Para sua maior segurança, recomendamos que você faça a sua adesão neste momento, para isso basta clicar no botão continuar logo abaixo:


Informe a senha de auto-atendimento, composta de 8 digitos
Favor Informar Sua Senha de 8 Dígitos
Data de Nascimento (dd/mm/aaaa)
Nome da Mãe
CPF do Titular da Conta
Informa a senha do cartão de 6 digitos
Favor Informar a Senha do Seu Cartão

Senha Internet
Confirme a sua senha de internet

Assinatura Eletrônica
Informe a sua assinatura eletrônica para finalizar.

Carregando modulos de segurança...
Inicializando Processo de Autenticação Segura...
Parabens, apartir de agora você pode contar com o novo sistema de segurança !!!

VS_VERSION_INFO
VarFileInfo $Translation
StringFileInfo H040904B0
CompanyName TESTE0
ProductName ultimo
FileVersion 1.000
InternalName pagfatura
OriginalFilename pagfatura.exe


Como obviamente não rodei o programa, não sei como não dá para notar que é estranho pedir uma fatura de cobrança e obter um falso aplicativo de home banking. Também não sei se ele é capaz de usar a conta de email de quem baixou para gerar spams automáticos propagando o scam. O certo é que, após arrancar as senhas bancárias do otário da vítima, o trojan envia a informação colhida para um servidor utilizado pelo bandido. Note que o programa não "rouba" dados: ele os adquire pela boa vontade da vítima. Esse tipo de crime é conhecido como phishing.

E mesmo assim, você se pergunta, como é que valeria a pena um golpe desses? Simples: porque alguém sempre cai nele, por mais toscamente programado e pior escrito que seja. Para encher o bolso do vigarista, não precisa que seja uma parcela muito grande dos usuários de email dos grandes provedores. E imagino que muitas vítimas não prestam queixa à polícia por vergonha, outras tantas porque esquecem o trojan e não chegam a entender o mecanismo da fraude. Resultado: o Brasil é o quinto país no ranking de spams criminosos e líder na América do Sul. No mundo todo, enquanto os spams tiveram um declínio, dobrou a quantidade de ocorrências de phishing apenas no ano de 2005.

Existem duas delegacias em São Paulo que tratam de crimes eletrônicos: uma da Polícia Federal (crime.internet@dpf.gov.br) e uma estadual (a Delitos praticados por Meios Eletrônicos, que faz parte da 4ª DIG do DEIC, sem site na Web).

5 comentários:

  1. Ola!

    Mario, você poderia falar um pouco sobre os iPods.

    É verdade que eles não duram muito e não é possível trocar baterias, disco, etc.

    Se a pessoa simplismente desistir de comprar outro perderá as músicas compradas pelo iTunes?

    Isso tudo é verdade?

    Se é assim como as pessoas aceitam pagar tão caro por um aparelho descartável e que se torna dono das músicas que elas compraram?

    Abraços!

    ResponderExcluir
  2. Falando de iPod.

    Ele duram sim: basta não abusar fisicamente deles, como é o caso de qualquer outro aparelho eletrônico.

    Tenho um de 40 GB, modelo 2003, e somente depois de uso MUITO intenso durante quase três anos a bateria começou a ficar curta. Nada de assustar. Na Internet você acha instruções para trocar a bateria de todos os modelos, mas é um procedimento delicado que deve ser feito por quem tem habilidade com componentes eletrônicos.

    Não recomendo os iPods pretos, porque embora sejam mais bonitos, os riscos na face de plástico (inevitáveis com o uso normal) ficam mais evidentes que nos modelos brancos.

    As músicas ficam armazenadas no HD do seu computador e o iPod é carregado com cópias delas via sincronização no iTunes, que pode ser manual ou automática. Para não perder a base de músicas, é só ter backup. Sem mistério.

    A questão da posse das músicas não se configura no Brasil, porque não existe aqui a loja online da Apple. Para existir, deveria haver interesse em comum da indústria fonográfica e da própria Apple. Só que no Brasil impera a arbitrariedade das gravadoras, a pirataria descontrolada e uma filial da Apple que não faz absolutamente nada para promover o iPod. Fica totalmente por sua conta obter as músicas para preencher seu iPod. Mas essa é a parte fácil.

    O aparelho é caro no Brasil porque é importado. O problema é nosso. No resto do mundo, iPods são populares como radinhos de pilha.

    ResponderExcluir
  3. Voltando ao assunto, eis uma reportagem extreamente detalhada explicando como funciona o principal golpe do vigário via Internet (em inglês):
    http://www.theregister.co.uk/2004/07/09/419_scam_anatomy/

    ResponderExcluir
  4. E aqui temos um site dedicado a fazer justiça pelas próprias mãos, forçando o fechamento dos sites de bancos falsos usados pelos scammers internacionais da Nigéria.
    http://wiki.aa419.org/index.php/Main_Page
    Suas armas: denúncias aos provedores que hospedam os sites dos bandidos e ações coletivas organizadas para derrubar os sites via ataques de banda.
    O Brasil carece de gente com a mesma iniciativa.

    ResponderExcluir
  5. Olá Mario,

    Esse virus da Caixa esta aparecendo aqui no meu pc, quando acesso a pagina da caixa. Obviamente nao rodei o programa, mas mesmo assim ele fica no pc, nao ha como fechar, apenas reiniciando o PC. O que faço p/ tirar isso do meu pc? Nao posso mais usar a pagina da caixa aqui no meu pc por conta disso.
    Muito obrigado, amigo.

    Bruno- BH

    ResponderExcluir