Exemplos de como o spam tem sido cada vez mais usado para proliferar fraudes, e informações sobre como reconhecer os indícios e características de mensagens de fraude circulando na Internet.
A Internet está cada vez mais perigosa para os desavisados. Muito além do vírus de computador e dos chamados hackers, é preocupante o aumento de ações de criminosos e delinquentes cometendo fraudes de todo tipo através da Internet.
As fraudes on-line visam, em geral, o sequestro de dados bancários (conta, senha) e pessoais, ou outras informações que possam ser úteis a malfeitores. O princípio geral destas fraudes consiste abordar em larga escala usuários de Internet, quase sempre por correio eletrônico (e-mail), usando algum assunto atrativo como disfarce para induzir as vítimas a fornecer dados sigilosos ou a instalar um programa que rouba informações no computador.
Este tipo de fraude eletrônica tem sido denominado phishing ou ainda phishing scam — algo como fraude “pesca-bobos”, em português. Um projeto de lei de crimes cibernéticos no Senado do Brasil propos inclusive tipificar essa prática como crime de estelionato eletrônico. Veja também o artigo jurídico A Internet brasileira e seus marcos regulatórios, por Fernando Neto Botelho, no portal de notícias AliceRamos.com.
Os fatores que, combinados, levam à ocorrência e proliferação de phishing são:
Dentre as mensagens indesejadas e não-solicitadas de correio eletrônico (spam) que circulam atualmente na Internet, as fraudes on-line (phishing) já chegaram a ultrapassar a ocorrência de anúncios, propagandas e pornografia, segundo dados da unidade de monitoramento Brightmail, da Symantec, empresa especializada em segurança digital.
A Polícia Federal do Brasil tem combatido fortemente os crimes de Internet resultantes destas fraudes, como ocorreu em diversas operações coordenadas, para desmantelar quadrilhas brasileiras especializadas em invadir e desviar dinheiro de contas bancárias por meio da Internet. Exemplos: “Operação Pégasus” em 25 de agosto de 2005 (veja também matéria na Folha Online); “Operação Scan” em 14 de fevereiro de 2006 (veja também nota no Analyst's Diary do Kaspersky Lab); “Operação Replicante” em 12 de setembro de 2006 e seu balanço (13/9) — 58 presos (veja também matérias no Estadão [1], Estadão [2] e Estadão [3], 12/09/2006); “Operação Galácticos” (14/09/2006). Fonte: Agência de Notícias da Polícia Federal. A PF também alerta e orienta sobre e-mails falsos em seu portal.
Mas prevenir é muito mais simples e eficaz do que remediar. Informação é sempre um meio válido de combater este tipo de mal, para que cada vez menos pessoas sejam enganadas pelas fraudes.
Assim, são apresentados e explicados aqui diversos exemplos de fraude, na forma de imagens reproduzindo a visualização de mensagens de fraude que circulam por correio eletrônico. Clicando em qualquer miniatura deste artigo você visualiza uma imagem do exemplo em tamanho real (aqui são apenas imagens inertes e não os arquivos nocivos originais). Os exemplos servem para mostrar a variedade de mentiras e fraudes que inundam o correio eletrônico e a web, e com isso deixar claro que definitivamente não se deve acreditar nem confiar em boa parte do que surge na Internet. Os textos explicativos também estão recheados de links com referências para informações e alertas legítimos, publicados pelas instituições difamadas e organizações de segurança.
Previna-se! Não se deixe enganar por uma fraude na Internet.
O phishing para execução de programas maliciosos (malware) que se instalam no computador das vítimas basicamente funciona assim:
O malware mais comum neste caso é o de programa espião (spyware) que fica em execução tentando roubar dados pessoais armazenados ou digitados, principalmente contas e senhas de banco. Por fingirem ser algo benéfico que na verdade trata-se de algo nocivo, estes programas também são classificados como cavalo-de-tróia (trojan-horse).
Por causa da enorme predominância do Windows em computadores pessoais, os programas maliciosos são praticamente sempre para este sistema. As extensões mais comuns do arquivo são: EXE, COM, SCR, CMD, BAT, PIF, CPL, VBS, LNK e SHS. Usuários de outros sistemas operacionais como Linux, Unix, Macintosh portanto não costumam ser visados.
O importante de se notar é que o passo (4) depende de pessoas acreditarem na fraude e executarem voluntariamente o programa maléfico. Se ninguém clicar no link e executar o programa, o malfeitor fracassa!
A seguir, são apresentados diversos exemplos de fraudes, agrupados por temas comumente utilizados. O objetivo aqui é você conhecer os temas para saber no que não deve acreditar.
“Você recebeu um cartão postal virtual”, “um segredinho de amor”, ou similar; e bastaria clicar no link para “visualizar a mensagem”, isto é, na verdade receber o trojan. Esta é uma das fraudes mais comuns para levar ao download e execução de um programa malicioso. Com aparências que vão do grosseiro à imitação bem feita, fingindo ser originado de um serviço de cartões virtuais realmente existente ou muitas vezes nem isso, as variações são muitas.
O Carteiro [23kB] |
Bradesco [54kB] |
Humor Tadela [8kB] |
Rádio Terra [22kB] |
Voxcards [9kB] |
Yahoo [21kB] |
Cartões e Mensagens - mais informações e exemplos.
Temas financeiros e cadastrais também são constantes nas fraudes: pendências de CPF, título eleitoral e de crédito, avisos de pagamentos, débitos e cobranças, transações de comércio eletrônico, orçamentos.
Por exemplo: “o seu CPF consta no Serasa”, ou “foi cancelado pela Receita Federal”. Misteriosamente, estas entidades descobriram o seu e-mail. E ainda escolheram o inseguro correio eletrônico como forma de notificá-lo de uma situação tão séria. O link supostamente levaria ao download de um “relatório com detalhes e instruções para você regularizar sua situação” ou similar. O portal legítimo da Receita Federal, contudo, alerta sobre Mensagens eletrônicas (e-mails) falsas em nome da Receita Federal e Receita alerta para e-mails falsos (IRPF 2005).
Outro tipo de phishing que se enquadra aqui é o de falso aviso de débito para um suposto pedido de compra on-line. O objetivo é igualmente alarmar o destinatário, neste caso sobre um possível débito indevido, levando-o a clicar em um link como “mais informações sobre o pedido/débito” para download do programa malicioso.
Fraudes com tema similar oferecem o download de um programa gratuito como “cadastro de clientes com consulta a SPC, Serasa, CCF”, “licitações eletrônicas” e até irônicos “programas anti-fraudes bancárias”.
CPF Cancelado [18kB] |
CDL/SPC [52kB] |
Serasa [13kB] |
Banco do Brasil [8kB] |
Mercado Livre [28kB] |
TIM [15kB] |
Notificações Financeiras e Cadastrais - mais informações e exemplos.
“Você está sendo traído!” “Osama Bin Laden foi preso!” Clicando no link fornecido na mensagem você veria “as imagens” em primeira mão; na verdade, daria uma mão ao malfeitor para instalar o trojan. Outro tipo de fraude nesta categoria é de mensagens de amor ou reencontro de alguém do passado, com um link para “ver fotos” desse falso alguém.
Traição [3kB] |
Osama preso [47kB] |
Despejo [13kB] |
Reencontro [9kB] |
Papa [51kB] |
Ronaldo [35kB] |
Informações/Notícias Bombásticas e Apelos - mais informações e exemplos.
Ferramentas de segurança e proteção, novas versões de software, créditos para celular pré-pago... ofertas de todo tipo de download “útil” de graça. Na verdade, o programa é um trojan, útil só para o fraudador, e quem paga é você.
Microsoft [6kB] |
Symantec+BB [71kB] |
Créditos celular [10kB] |
MSN messenger [38kB] |
Vivo [30kB] |
Windows [30kB] |
Download de Programas - mais informações e exemplos.
Você é uma pessoa de sorte. Foi sorteada para um prêmio fabuloso ou convidada a participar de uma promoção incrível. E o seu e-mail foi “selecionado”, junto com mais alguns milhões de outros, em uma lista de spam. A mensagem instrui a clicar no link para preencher o “formulário eletrônico”, mas na verdade seria para assinar um verdadeiro atestado de ingenuidade ao baixar e executar um trojan.
Além das campanhas promocionais e de concursos, existem fraudes que apelam até para o tema de campanhas de solidariedade, como as que citam o Click Fome e a AACD. Ambas as instituições divulgaram alertas sobre a fraude em seus endereços na web.
Menção honrosa para o alerta pronta e responsavelmente divulgado pela antiga Varig sobre e-mails de fraude usando o nome da empresa, listado em destaque no sítio web antigo do Programa Smiles. Ponto positivo também para a Globo que, ciente das fraudes por e-mail em torno do programa Big Brother Brasil, incluiu na página principal do BBB e no formulário de inscrição das últimas edições do programa o seguinte aviso em destaque: “Atenção: a TV Globo e a Globo.com não enviarão qualquer informação sobre as inscrições do Big Brother Brasil por e-mail. Tenha cuidado com as falsas mensagens que circulam pela internet”. Também a operadora de telefonia celular Claro divulga alertas em seu portal sobre fraudes usando o nome da empresa.
Americanas [24kB] |
Varig [30kB] |
Big Brother [61kB] |
Fotolog [13kB] |
AACD [14kB] |
Claro [70kB] |
Prêmios, Promoções e Campanhas - mais informações e exemplos.
Aviso: Apesar de itens mais ofensivos terem sido propositadamente descaracterizados nos exemplos, imagens e textos deste tema são impróprios para menores de idade.
Sexo e erotismo sempre foram temas bastante presentes na Internet. Não é diferente com as fraudes eletrônicas.
Até de boato fazem fraudes. O Sexkut, um trote criado pelo Cocadaboa fingindo ser uma “variante sexual do Orkut”, foi também tema de phishing.
Manual homem [24kB] |
Book Concurso [84kB] |
Paparazzo [79kB] |
Casa Artistas [40kB] |
Sexy [91kB] |
Sexkut [94kB] |
Temas Adultos e Erotismo - mais informações e exemplos.
Enquanto os cavalos de tróia (trojan) em geral instalam programas espiões com o objetivo de sequestrar informações pessoais e configurações do computador, uma variação de fraude usa abordagem mais direta: tenta enganar o usuário de modo a fazê-lo docilmente preencher um formulário, em geral com dados pessoais e bancários, que é enviado para algum destino criminoso. Por exemplo, a fraude pode se disfarçar de tela de entrada do home-banking de algum banco. Se coincidir do usuário destinatário ser cliente do banco em questão e ingênuo e descuidado o bastante, a técnica infelizmente pode resultar em algum sucesso. Em alguns casos, o formulário é apresentado na própria mensagem de fraude; em outros, o spam contém apenas um link que leva a uma página com o formulário.
BB Seguros [84kB] |
Banco Itaú 2 [24kB] |
Web: Itaú 2 [29kB] |
IBGE [30kB] |
Web: Credicard [42kB] |
Web: Real [136kB] |
Formulários Nacionais - mais informações e exemplos.
Outros exemplos, no Blog do Márcio d'Ávila:
Quase todos os phishings internacionais aqui listados compartilham a mesma característica: a mensagem de fraude refere-se a um banco dos EUA e exibe apenas uma imagem (GIF) contendo uma logomarca e o texto fraudulento (em inglês); a imagem é um link que levará a um formulário web para raptar dados bancários. Além disso, após a imagem, a mensagem inclui certa quantidade de palavras sem sentido escritas como texto, mas formatado como letras brancas em fundo branco para ficar oculto, com o objetivo de tentar burlar mecanismos anti-spam que descartam mensagens que não contenham texto nenhum. Em exemplos aqui apresentados, o texto oculto foi selecionado para que ficasse visível.
Além dessa “típica” fraude bancária americana, também existem formulários fingindo ser dos portais de pagamentos PayPal e de leilões/comércio Ebay. PayPal mantém um hotsite de luta contra phishing, com orientações aos usuários, ações da PayPal contra fraudes e até um pequeno quiz para você testar se está preparado a identificar e evitar fraudes.
U.S. Bank [8kB] |
Citizens Bank [6kB] |
Web: Citizens [11kB] |
Ebay [13kB] |
Citibank [12kB] |
PayPal [16kB] |
Charter One [10kB] |
Web: Charter 1 [16kB] |
IE6: Charter 1 [21kB] |
Formulários Internacionais - mais informações e exemplos.
Com base nos exemplos aqui apresentados, podemos identificar que um ou mais dos aspectos a seguir costumam aparecer em um phishing e podem assim representar indícios auxiliando a identificar uma mensagem fraudulenta. Mas como eventualmente todos eles podem ter sido dissimulados, ou ainda alguma destas características pode ocorrer em uma mensagem legítima de correio eletrônico, estará menos propenso a ser enganado por um phishing o usuário que, acima de tudo, sempre tiver cautela e bom-senso.
Veja também meus artigos Cuidado - A fraude evoluiu, 2009-06-11, analisando os indícios de uma fraude usando o nome da companhia aérea Gol, e Anatomia de uma fraude, 2006-08-02, com uma análise ilustrada de indícios em uma fraude por e-mail.
Embora tecnicamente seja possível identificar algumas técnicas comuns utilizadas em fraudes, as variações e possibilidades são infindas. E a cada momento surgem novas fraudes. A identificação precisa de fraudes é trabalhosa: requer identificá-las individualmente e cadastrá-las em alguma lista-negra.
Por mais que existam diversas empresas especializadas e esforços colaborativos na Internet para identificação contínua de fraudes e manutenção de bases de dados, essa luta de polícia-e-ladrão nunca tem fim. É tarefa impossível detectar automaticamente todas as fraudes. Portanto, assim como no mundo real, também nos computadores e na Internet não existe segurança absoluta. Embora alguns programas auxiliem na detecção de fraudes, nada substitui sua atenção e cautela.
Empresas de segurança fornecedores de ferramentas antivírus, que tradicionalmente já necessitam manter uma base de dados para identificar vírus e outros softwares maliciosos, têm mantido também bases de dados de fraudes e programas espiões utilizados nestas. Destaco o Kaspersky Antivírus como um dos mais eficazes e eficientes no auxílio à detecção de fraudes phishing scam, além de vírus e outros programas maliciosos em geral.
O cliente de e-mail Thunderbird, programa livre do projeto Mozilla — disponível para Windows, Linux e outros sistemas operacionais, foi pioneiro em incluir um recurso automático que analisa mensagens para detectar técnicas de “phishing scam”. Este recurso não isenta o usuário de manter-se atento e só contempla alguns casos, mas já é uma ajuda, como no exemplo a seguir.
Fonte: br.mozdev.org, Mozilla Foundation.
Quando a fraude leva a vítima a abrir uma página na web, outra ferramenta útil é utilizar o navegador Firefox, que possui proteção anti-fraudes (Phishing Protection) nativa. Em parceria com o cadastro de fraudes do Google Safe Browsing, o recurso de Navegação mais segura com a proteção contra fraude faz o Firefox exibir o seguinte alerta, ao entrar em uma página de fraude já reportada:
Veja mais ferramentas similares no meu artigo Quem avisa amigo é - Classificação de sites, 2009-07-26.Diversas empresas e instituições que são tema frequente de fraudes têm divulgado alertas e orientações a respeito. A seguir, uma coletânea de informativos.
Para empresas de Telecom que segmentam seus portais por estado, preferencialmente foi escolhido São Paulo, onde há um número maior de usuários em potencial.
Nota: As imagens aqui reproduzidas como exemplo tem caráter exclusivamente ilustrativo e representam a prática de fraudes. Porém, qualquer imagem, marca ou informação citada no texto ou contida nas reproduções, eventualmente baseada em origem verídica, permanece restrita e reservada aos legítimos detentores de seu direito ou propriedade.
© 2003-2020, Márcio d'Ávila, mhavila.com.br, direitos reservados. O texto e código-fonte apresentados podem ser referenciados, distribuídos e utilizados, desde que expressamente citada esta fonte e o crédito do(s) autor(es). A informação aqui apresentada, apesar de todo o esforço para garantir sua precisão e correção, é oferecida "como está", sem quaisquer garantias explícitas ou implícitas decorrentes de sua utilização ou suas consequências diretas e indiretas.