Phishing Scam - A fraude inunda o correio eletrônico

Márcio d'Ávila, 28 de junho de 2004. Revisão 43, 02 de novembro de 2010.
Categoria: Segurança: Malware: Fraude

Exemplos de como o spam tem sido cada vez mais usado para proliferar fraudes, e informações sobre como reconhecer os indícios e características de mensagens de fraude circulando na Internet.

Sumário

  1. Introdução
  2. Exemplos: Link para Programa
    1. Cartões e Mensagens
    2. Notificações Financeiras e Cadastrais
    3. Informações/Notícias Bombásticas e Apelos Dramáticos
    4. Download de Programas
    5. Prêmios, Promoções e Campanhas
    6. Temas Adultos e Erotismo
  3. Exemplos: Formulário
    1. Nacionais
    2. Internacionais
  4. Indícios de phishing scam
  5. Programas que auxiliam a identificar fraudes
  6. Alertas institucionais
    1. Governo e Serviços Públicos
    2. Telecomunicações
    3. Bancos e Crédito
    4. Comércio Eletrônico
    5. Internacional
  7. Referências
    1. Informação geral sobre fraudes
    2. Cartilhas e dicas de informação e prevenção
    3. Outros catálogos e amostras de fraudes

Introdução

A Internet está cada vez mais perigosa para os desavisados. Muito além do vírus de computador e dos chamados hackers, é preocupante o aumento de ações de criminosos e delinquentes cometendo fraudes de todo tipo através da Internet.

As fraudes on-line visam, em geral, o sequestro de dados bancários (conta, senha) e pessoais, ou outras informações que possam ser úteis a malfeitores. O princípio geral destas fraudes consiste abordar em larga escala usuários de Internet, quase sempre por correio eletrônico (e-mail), usando algum assunto atrativo como disfarce para induzir as vítimas a fornecer dados sigilosos ou a instalar um programa que rouba informações no computador.

Este tipo de fraude eletrônica tem sido denominado phishing ou ainda phishing scam — algo como fraude “pesca-bobos”, em português. Um projeto de lei de crimes cibernéticos no Senado do Brasil propos inclusive tipificar essa prática como crime de estelionato eletrônico. Veja também o artigo jurídico A Internet brasileira e seus marcos regulatórios, por Fernando Neto Botelho, no portal de notícias AliceRamos.com.

Os fatores que, combinados, levam à ocorrência e proliferação de phishing são:

Dentre as mensagens indesejadas e não-solicitadas de correio eletrônico (spam) que circulam atualmente na Internet, as fraudes on-line (phishing) já chegaram a ultrapassar a ocorrência de anúncios, propagandas e pornografia, segundo dados da unidade de monitoramento Brightmail, da Symantec, empresa especializada em segurança digital.

A Polícia Federal do Brasil tem combatido fortemente os crimes de Internet resultantes destas fraudes, como ocorreu em diversas operações coordenadas, para desmantelar quadrilhas brasileiras especializadas em invadir e desviar dinheiro de contas bancárias por meio da Internet. Exemplos: “Operação Pégasus” em 25 de agosto de 2005 (veja também matéria na Folha Online); “Operação Scan” em 14 de fevereiro de 2006 (veja também nota no Analyst's Diary do Kaspersky Lab); “Operação Replicante” em 12 de setembro de 2006 e seu balanço (13/9) — 58 presos (veja também matérias no Estadão [1], Estadão [2] e Estadão [3], 12/09/2006); “Operação Galácticos” (14/09/2006). Fonte: Agência de Notícias da Polícia Federal. A PF também alerta e orienta sobre e-mails falsos em seu portal.

Mas prevenir é muito mais simples e eficaz do que remediar. Informação é sempre um meio válido de combater este tipo de mal, para que cada vez menos pessoas sejam enganadas pelas fraudes.

Assim, são apresentados e explicados aqui diversos exemplos de fraude, na forma de imagens reproduzindo a visualização de mensagens de fraude que circulam por correio eletrônico. Clicando em qualquer miniatura deste artigo você visualiza uma imagem do exemplo em tamanho real (aqui são apenas imagens inertes e não os arquivos nocivos originais). Os exemplos servem para mostrar a variedade de mentiras e fraudes que inundam o correio eletrônico e a web, e com isso deixar claro que definitivamente não se deve acreditar nem confiar em boa parte do que surge na Internet. Os textos explicativos também estão recheados de links com referências para informações e alertas legítimos, publicados pelas instituições difamadas e organizações de segurança.

Previna-se! Não se deixe enganar por uma fraude na Internet.

Exemplos: Link para Programa

O phishing para execução de programas maliciosos (malware) que se instalam no computador das vítimas basicamente funciona assim:

  1. Um programa malicioso é criado e colocado na web pelo malfeitor.
  2. O malfeitor cria uma mensagem fraudulenta com uma mentira usando um tema de impacto, que possa atrair a atenção de várias pessoas, visando induzir destinatários a clicar em um link da mensagem, que na verdade leva ao programa malicioso hospedado na web.
  3. O malfeitor envia a mensagem fraudulenta por correio eletrônico (e-mail) a milhões de pessoas, usando as práticas de spam (lixo eletrônico).
  4. Uma parte dos destinatários incautos acredita na fraude e clica no link, baixa o programa e o executa!
  5. Em geral a execução do programa não produz nenhum resultado aparente, mas ele se instala para ficar em execução permanente e realizar suas ações furtivas e maléficas.

O malware mais comum neste caso é o de programa espião (spyware) que fica em execução tentando roubar dados pessoais armazenados ou digitados, principalmente contas e senhas de banco. Por fingirem ser algo benéfico que na verdade trata-se de algo nocivo, estes programas também são classificados como cavalo-de-tróia (trojan-horse).

Por causa da enorme predominância do Windows em computadores pessoais, os programas maliciosos são praticamente sempre para este sistema. As extensões mais comuns do arquivo são: EXE, COM, SCR, CMD, BAT, PIF, CPL, VBS, LNK e SHS. Usuários de outros sistemas operacionais como Linux, Unix, Macintosh portanto não costumam ser visados.

O importante de se notar é que o passo (4) depende de pessoas acreditarem na fraude e executarem voluntariamente o programa maléfico. Se ninguém clicar no link e executar o programa, o malfeitor fracassa!

A seguir, são apresentados diversos exemplos de fraudes, agrupados por temas comumente utilizados. O objetivo aqui é você conhecer os temas para saber no que não deve acreditar.

Cartões e Mensagens

“Você recebeu um cartão postal virtual”, “um segredinho de amor”, ou similar; e bastaria clicar no link para “visualizar a mensagem”, isto é, na verdade receber o trojan. Esta é uma das fraudes mais comuns para levar ao download e execução de um programa malicioso. Com aparências que vão do grosseiro à imitação bem feita, fingindo ser originado de um serviço de cartões virtuais realmente existente ou muitas vezes nem isso, as variações são muitas.

Miniatura de ocarteiro
O Carteiro [23kB]
Miniatura de bradesco
Bradesco [54kB]
Miniatura de humortadela
Humor Tadela [8kB]
Miniatura de radioterra
Rádio Terra [22kB]
Miniatura de voxcards
Voxcards [9kB]
Miniatura de yahoo2
Yahoo [21kB]

Cartões e Mensagens - mais informações e exemplos.

Notificações Financeiras e Cadastrais

Temas financeiros e cadastrais também são constantes nas fraudes: pendências de CPF, título eleitoral e de crédito, avisos de pagamentos, débitos e cobranças, transações de comércio eletrônico, orçamentos.

Por exemplo: “o seu CPF consta no Serasa”, ou “foi cancelado pela Receita Federal”. Misteriosamente, estas entidades descobriram o seu e-mail. E ainda escolheram o inseguro correio eletrônico como forma de notificá-lo de uma situação tão séria. O link supostamente levaria ao download de um “relatório com detalhes e instruções para você regularizar sua situação” ou similar. O portal legítimo da Receita Federal, contudo, alerta sobre Mensagens eletrônicas (e-mails) falsas em nome da Receita Federal e Receita alerta para e-mails falsos (IRPF 2005).

Outro tipo de phishing que se enquadra aqui é o de falso aviso de débito para um suposto pedido de compra on-line. O objetivo é igualmente alarmar o destinatário, neste caso sobre um possível débito indevido, levando-o a clicar em um link como “mais informações sobre o pedido/débito” para download do programa malicioso.

Fraudes com tema similar oferecem o download de um programa gratuito como “cadastro de clientes com consulta a SPC, Serasa, CCF”, “licitações eletrônicas” e até irônicos “programas anti-fraudes bancárias”.

Miniatura de cpf
CPF Cancelado [18kB]
Miniatura de cdl
CDL/SPC [52kB]
Miniatura de serasa3
Serasa [13kB]
Miniatura de bbrasil
Banco do Brasil [8kB]
Miniatura de mercadolivre
Mercado Livre [28kB]
Miniatura de tim
TIM [15kB]

Notificações Financeiras e Cadastrais - mais informações e exemplos.

Informações/Notícias Bombásticas e Apelos Dramáticos

“Você está sendo traído!” “Osama Bin Laden foi preso!” Clicando no link fornecido na mensagem você veria “as imagens” em primeira mão; na verdade, daria uma mão ao malfeitor para instalar o trojan. Outro tipo de fraude nesta categoria é de mensagens de amor ou reencontro de alguém do passado, com um link para “ver fotos” desse falso alguém.

Miniatura de traido
Traição [3kB]
Miniatura de osama
Osama preso [47kB]
Miniatura de despejo
Despejo [13kB]
Miniatura de reencontro
Reencontro [9kB]
Miniatura de papa
Papa [51kB]
Miniatura de ronaldo
Ronaldo [35kB]

Informações/Notícias Bombásticas e Apelos - mais informações e exemplos.

Download de Programas

Ferramentas de segurança e proteção, novas versões de software, créditos para celular pré-pago... ofertas de todo tipo de download “útil” de graça. Na verdade, o programa é um trojan, útil só para o fraudador, e quem paga é você.

Miniatura de microsoft
Microsoft [6kB]
Miniatura de symantecbb
Symantec+BB [71kB]
Miniatura de celularcred
Créditos celular [10kB]
Miniatura de msn
MSN messenger [38kB]
Miniatura de vivo
Vivo [30kB]
Miniatura de windows
Windows [30kB]

Download de Programas - mais informações e exemplos.

Prêmios, Promoções e Campanhas

Você é uma pessoa de sorte. Foi sorteada para um prêmio fabuloso ou convidada a participar de uma promoção incrível. E o seu e-mail foi “selecionado”, junto com mais alguns milhões de outros, em uma lista de spam. A mensagem instrui a clicar no link para preencher o “formulário eletrônico”, mas na verdade seria para assinar um verdadeiro atestado de ingenuidade ao baixar e executar um trojan.

Além das campanhas promocionais e de concursos, existem fraudes que apelam até para o tema de campanhas de solidariedade, como as que citam o Click Fome e a AACD. Ambas as instituições divulgaram alertas sobre a fraude em seus endereços na web.

Menção honrosa para o alerta pronta e responsavelmente divulgado pela antiga Varig sobre e-mails de fraude usando o nome da empresa, listado em destaque no sítio web antigo do Programa Smiles. Ponto positivo também para a Globo que, ciente das fraudes por e-mail em torno do programa Big Brother Brasil, incluiu na página principal do BBB e no formulário de inscrição das últimas edições do programa o seguinte aviso em destaque: “Atenção: a TV Globo e a Globo.com não enviarão qualquer informação sobre as inscrições do Big Brother Brasil por e-mail. Tenha cuidado com as falsas mensagens que circulam pela internet”. Também a operadora de telefonia celular Claro divulga alertas em seu portal sobre fraudes usando o nome da empresa.

Miniatura de americanas
Americanas [24kB]
Miniatura de varig
Varig [30kB]
Miniatura de bbb
Big Brother [61kB]
Miniatura de fotolog
Fotolog [13kB]
Miniatura de aacd
AACD [14kB]
Miniatura de claro
Claro [70kB]

Prêmios, Promoções e Campanhas - mais informações e exemplos.

Temas Adultos e Erotismo

Aviso: Apesar de itens mais ofensivos terem sido propositadamente descaracterizados nos exemplos, imagens e textos deste tema são impróprios para menores de idade.

Sexo e erotismo sempre foram temas bastante presentes na Internet. Não é diferente com as fraudes eletrônicas.

Até de boato fazem fraudes. O Sexkut, um trote criado pelo Cocadaboa fingindo ser uma “variante sexual do Orkut”, foi também tema de phishing.

Miniatura de manual
Manual homem [24kB]
Miniatura de book
Book Concurso [84kB]
Miniatura de paparazzo
Paparazzo [79kB]
Miniatura de casaartistas
Casa Artistas [40kB]
Miniatura de sexy
Sexy [91kB]
Miniatura de sexkut
Sexkut [94kB]

Temas Adultos e Erotismo - mais informações e exemplos.

Exemplos: Formulário

Enquanto os cavalos de tróia (trojan) em geral instalam programas espiões com o objetivo de sequestrar informações pessoais e configurações do computador, uma variação de fraude usa abordagem mais direta: tenta enganar o usuário de modo a fazê-lo docilmente preencher um formulário, em geral com dados pessoais e bancários, que é enviado para algum destino criminoso. Por exemplo, a fraude pode se disfarçar de tela de entrada do home-banking de algum banco. Se coincidir do usuário destinatário ser cliente do banco em questão e ingênuo e descuidado o bastante, a técnica infelizmente pode resultar em algum sucesso. Em alguns casos, o formulário é apresentado na própria mensagem de fraude; em outros, o spam contém apenas um link que leva a uma página com o formulário.

Nacionais

Miniatura de bbseguros
BB Seguros [84kB]
Miniatura de itau2
Banco Itaú 2 [24kB]
Miniatura de itau2_web
Web: Itaú 2 [29kB]
Miniatura de ibge
IBGE [30kB]
Miniatura de credicard_web
Web: Credicard [42kB]
Miniatura de real_web
Web: Real [136kB]

Formulários Nacionais - mais informações e exemplos.

Outros exemplos, no Blog do Márcio d'Ávila:

Internacionais

Quase todos os phishings internacionais aqui listados compartilham a mesma característica: a mensagem de fraude refere-se a um banco dos EUA e exibe apenas uma imagem (GIF) contendo uma logomarca e o texto fraudulento (em inglês); a imagem é um link que levará a um formulário web para raptar dados bancários. Além disso, após a imagem, a mensagem inclui certa quantidade de palavras sem sentido escritas como texto, mas formatado como letras brancas em fundo branco para ficar oculto, com o objetivo de tentar burlar mecanismos anti-spam que descartam mensagens que não contenham texto nenhum. Em exemplos aqui apresentados, o texto oculto foi selecionado para que ficasse visível.

Além dessa “típica” fraude bancária americana, também existem formulários fingindo ser dos portais de pagamentos PayPal e de leilões/comércio Ebay. PayPal mantém um hotsite de luta contra phishing, com orientações aos usuários, ações da PayPal contra fraudes e até um pequeno quiz para você testar se está preparado a identificar e evitar fraudes.

Miniatura de usbank
U.S. Bank [8kB]
Miniatura de citizens
Citizens Bank [6kB]
Miniatura de citizens_web
Web: Citizens [11kB]
Miniatura de ebay
Ebay [13kB]
Miniatura de citi2
Citibank [12kB]
Miniatura de paypal
PayPal [16kB]
Miniatura de charter1
Charter One [10kB]
Miniatura de charter1_web
Web: Charter 1 [16kB]
Miniatura de scam_charter1_ie6
IE6: Charter 1 [21kB]

Formulários Internacionais - mais informações e exemplos.

Indícios de phishing scam

Com base nos exemplos aqui apresentados, podemos identificar que um ou mais dos aspectos a seguir costumam aparecer em um phishing e podem assim representar indícios auxiliando a identificar uma mensagem fraudulenta. Mas como eventualmente todos eles podem ter sido dissimulados, ou ainda alguma destas características pode ocorrer em uma mensagem legítima de correio eletrônico, estará menos propenso a ser enganado por um phishing o usuário que, acima de tudo, sempre tiver cautela e bom-senso.

Apresentação descuidada:
Quase todas as mensagens de fraude vêm em formato HTML, o que permite adicionar adereços visuais como imagens, cores e fontes que ajudam a distrair a atenção e dissimular o conteúdo enganoso, como incluir a imagem de logomarca de alguma instituição conhecida cujo nome é usado na fraude. Apesar disso, muitos fraudadores sequer têm cuidado ou mesmo capacidade para elaborar uma apresentação visual bem-cuidada e geram mensagens com uma aparência feia ou defeituosa, textos confusos e com erros de ortografia e gramática. Instituições e empresas legítimas provavelmente teriam preocupação com a sua imagem e com boas práticas de marketing, se esforçando para produzir uma comunicação adequada, agradável e de qualidade profissional. Há casos porém em que os fraudadores copiam o conteúdo de uma comunicação legítima e bem-feita e apenas o adulteram de forma a apontar para um novo destino enganoso, aparentando alguma veracidade.
Link destino não confiável:
Quando a mensagem inclui um link para a web, tipicamente, o endereço (URL) de destino aponta para a um domínio de provedor ou serviço de hospedagem web público e gratuito, em geral sem nenhuma relação com o suposto remetente. Uma mensagem originada de uma instituição que possua sítio web muito provavelmente usaria um endereço dentro de seu próprio domínio. Além disso, quase sempre o link aponta para um arquivo executável Windows (extensões: .exe, .com, .scr, .cmd, .bat, .pif, .cpl, .vbs, .lnk, .shs, entre outras) ou ainda um pacote compactado (.zip) contendo um arquivo executável. Outros links menos óbvios podem levar a páginas dinâmicas que encaminham indiretamente para o download de um arquivo, ou a um formulário fraudulento solicitando dados sigilosos. Sempre verifique o endereço de destino de um link antes de clicar nele. E, na dúvida, não clique.
Informação improvável:
É comum o conteúdo da mensagem ser fantasioso ou improvável, como uma promoção ou notícia exagerada, ou uma informação séria ou sigilosa que dificilmente deveria ser veiculada em um meio de informação frágil como o correio eletrônico. Um exceção são as fraudes que se disfarçam de cartão-postal virtual, pois estes poderiam ser enviados por qualquer pessoa e tratar de qualquer assunto informal.
Impessoalidade:
Em uma mensagem endereçada diretamente a você, vinda de uma instituição ou pessoa que possui pelo menos seu nome completo, seria plausível esperar que se referissem a você da forma mais pessoal e identificada possível, de preferência incluindo seu nome e e-mail corretos no destinatário (Para/To) ou no texto da mensagem. Infelizmente, algumas instituições legítimas ainda não têm essa preocupação. Mas tenha cuidado com as fraudes que tentam inferir o seu nome a partir do endereço de e-mail, para fingir pessoalidade. Se o seu e-mail fosse, por exemplo, paulo.roberto@provedor.dom, uma saudação como “Olá, PAULO ROBERTO” na mensagem não garantiria confiança, uma vez que o nome faz parte do endereço eletrônico. Já para proberto@provedor.dom, uma saudação “Olá, PROBERTO” sugere mais claramente que quem enviou sabe apenas o e-mail.
Remetente suspeito:
Frequentemente, ao invés de um nome, o campo de remetente apresenta um texto que mais parece de assunto. Pior ainda, na maioria das vezes o endereço de e-mail do suposto remetente é inválido, inexistente ou não tem nenhuma relação com a instituição em questão no texto da fraude. Contudo, mesmo que o remetente pareça coerente, é importante lembrar que este campo pode ser falsificado com facilidade, da mesma forma que em uma carta, em papel, uma pessoa pode escrever o que bem entender como remetente.

Veja também meus artigos Cuidado - A fraude evoluiu, 2009-06-11, analisando os indícios de uma fraude usando o nome da companhia aérea Gol, e Anatomia de uma fraude, 2006-08-02, com uma análise ilustrada de indícios em uma fraude por e-mail.

Programas que auxiliam a identificar fraudes

Embora tecnicamente seja possível identificar algumas técnicas comuns utilizadas em fraudes, as variações e possibilidades são infindas. E a cada momento surgem novas fraudes. A identificação precisa de fraudes é trabalhosa: requer identificá-las individualmente e cadastrá-las em alguma lista-negra.

Por mais que existam diversas empresas especializadas e esforços colaborativos na Internet para identificação contínua de fraudes e manutenção de bases de dados, essa luta de polícia-e-ladrão nunca tem fim. É tarefa impossível detectar automaticamente todas as fraudes. Portanto, assim como no mundo real, também nos computadores e na Internet não existe segurança absoluta. Embora alguns programas auxiliem na detecção de fraudes, nada substitui sua atenção e cautela.

Empresas de segurança fornecedores de ferramentas antivírus, que tradicionalmente já necessitam manter uma base de dados para identificar vírus e outros softwares maliciosos, têm mantido também bases de dados de fraudes e programas espiões utilizados nestas. Destaco o Kaspersky Antivírus como um dos mais eficazes e eficientes no auxílio à detecção de fraudes phishing scam, além de vírus e outros programas maliciosos em geral.

O cliente de e-mail Thunderbird, programa livre do projeto Mozilla — disponível para Windows, Linux e outros sistemas operacionais, foi pioneiro em incluir um recurso automático que analisa mensagens para detectar técnicas de “phishing scam”. Este recurso não isenta o usuário de manter-se atento e só contempla alguns casos, mas já é uma ajuda, como no exemplo a seguir.

Mozilla Thunderbird 1.5 detecta phishing scam
Fonte: br.mozdev.org, Mozilla Foundation.

Quando a fraude leva a vítima a abrir uma página na web, outra ferramenta útil é utilizar o navegador Firefox, que possui proteção anti-fraudes (Phishing Protection) nativa. Em parceria com o cadastro de fraudes do Google Safe Browsing, o recurso de Navegação mais segura com a proteção contra fraude faz o Firefox exibir o seguinte alerta, ao entrar em uma página de fraude já reportada:

Firefox 1/2: Site fraudado

Firefox 3.6: Site fraudado

Veja mais ferramentas similares no meu artigo Quem avisa amigo é - Classificação de sites, 2009-07-26.

Alertas institucionais

Diversas empresas e instituições que são tema frequente de fraudes têm divulgado alertas e orientações a respeito. A seguir, uma coletânea de informativos.

Para empresas de Telecom que segmentam seus portais por estado, preferencialmente foi escolhido São Paulo, onde há um número maior de usuários em potencial.

Governo e Serviços Públicos

Telecomunicações

Bancos e Crédito

Comércio Eletrônico

Internacional

Referências

Informação geral sobre fraudes

Cartilhas e dicas de informação e prevenção

Outros catálogos e amostras de fraudes

Nota: As imagens aqui reproduzidas como exemplo tem caráter exclusivamente ilustrativo e representam a prática de fraudes. Porém, qualquer imagem, marca ou informação citada no texto ou contida nas reproduções, eventualmente baseada em origem verídica, permanece restrita e reservada aos legítimos detentores de seu direito ou propriedade.


Firefox - A web de volta
Creative Commons License

© 2003-2011, Márcio d'Ávila, mhavila.com.br, direitos reservados. O texto e código-fonte apresentados podem ser referenciados, distribuídos e utilizados, desde que expressamente citada esta fonte e o crédito do(s) autor(es). A informação aqui apresentada, apesar de todo o esforço para garantir sua precisão e correção, é oferecida "como está", sem quaisquer garantias explícitas ou implícitas decorrentes de sua utilização ou suas consequências diretas e indiretas.