Como Analisar Phishing Scam

Pessoal, não sou nenhum expert em segurança de informação, mas o ocorrido agora há pouco me acendeu uma luz na cabeça e resolvi gastar uns minutos neste post.

Muita gente recebe, como eu recebi, e-mails se dizendo ser Fulano (onde Fulano aqui é um amigo ou pessoa muito bem quista/vista por ti) e você vai ver e se trata de um Spam ou Phishing Scam.

"Mas Danilo, qual é a diferença?"

Vejamos... Spam não é isto:

Descrição: Duas pequenas latas de Spam. Uma lata está fechada, outra lata está aberta e com fatias de Spam sobre um prato.
Data: 15 de Julho de 2006.
Origem: Wikipedia / Obra do próprio.
Autor: Matthew W. Jackson.
Permissão: (Reutilizar este arquivo).
Licença: Creative Commons - Atribuição - Partilha nos Mesmos Termos 2.5 Genérica.
Via Wikipedia - http://pt.wikipedia.org/wiki/Ficheiro:Spam_with_cans.jpeg.

Spam é

Spam se trata, na minha concepção pessoal, de toda e qualquer mensagem não solicitada que chega por:

• e-mail,
• tweets,
• sms,
• scraps do orkut,
• posts em seu perfil no facebook,
• sinais de fumaças,

Que, REPITO: NÃO SEJAM PEDIDAS POR VOCÊ.

Na maioria dos casos estas mensagens contém:

• Propagandas de eventos,
• Traquitanas como aumentadores de órgãos genitais,
• Remédios (de tudo um pouco, de disfunção erétil masculina a qualquer outros tipos de remédio),
• Produtos de beleza ou farmacológicos de origem duvidosa,
• Produtos emagrecedores, chás miraculosos que emagrecem a pessoa sem nenhum esforço,
• Falsas matérias dizendo que um produto ou esquema de "fique rico sem fazer nada" e diversos outros esquemas de pirâmide,
• Textos apócrifos de autores brasileiros como Arnaldo Jabor, Luis Fernando Veríssimo, Dalai Lama. Textos estes que não são destes autores, mas que são opiniões pessoais dos remetentes ou de outros autores, mas que no meio do "telefone sem fio" acabaram deturpadas e/ou mudadas para serem "melhor aceitas" pela mudança do autor (mais "confiabilidade" de fonte, talvez? Muitos autores pouco menos conhecidos discordam disso). Isto aconteceu com o texto "Wear Sunscreen" ("Use Filtro Solar"), por exemplo.
• Correntes com Mensagens de Bíblia, Powerpoints de animações "bunitinhas", das Crianças Leprosas de Bangladesh/Índia/China/<qualquer outro país subdesenvolvido aqui> para as quais a AOL/Microsoft/Google/<qualquer outra grande empresa de informática> pagará centavos de merreca por cada e-mail enviado,
• Mensagens não profissionais para seu e-mail da empresa,
• Mensagens profissionais da empresa para seu e-mail pessoal (exceto avisos que não haverá expediente determinados dias por "motivo de força maior"), e
• Uma infinidade de outras mensagens que se encaixam nesta categoria.

Mas que tem a qualidade/defeito comum, elas:

• NÃO PEDEM para Instalar alguma coisa em sua máquina;


• NÃO PEDEM para Atualizar cadastros de quaisquer natureza que peçam dados estritamente pessoais como CPF / RG / Telefones / Cartões / Contas em Banco;


• NÃO PEDEM para Acessar determinadas fotos comprometedoras suas e/ou de seu parceiro;


• NÃO AVISAM que você ganhou na Lotto, Loteria ou qualquer prêmio que você não participa e pedem Nome, Endereço, Social Security/RG/CPF/CNPJ para processar seu prêmio;


• NÃO PEDEM para Abrir Telegramas Eletrônicos dos CORREIOS;


• NÃO CONTÉM Intimação para Audiências (esta é nova, recebi ontem, e é Phishing Scam por um simples motivo: INTIMAÇÕES SÃO ENTREGUES EM MÃOS ATRAVÉS DE OFICIAIS DE JUSTIÇA!).


• NÃO CONTÉM Recursos de Multas no DETRAN / CIRETRAN / CONTRAN / etc.

Se quiser mais informações sobre o que é SPAM no senso comum, Wikipedia possui um artigo mais detalhado em http://pt.wikipedia.org/wiki/Spam .

---

Já Phishing Scam...

Phishing Scam vem do inglês (meio de gíria/jargão para "Esquema de Pescaria", numa tradução quase literal).

É quando a mensagem do email pede para você alguma ação como clicar em algum link pedindo o acesso a algum outro local ou:

• Para "Atualização do token"
  de algum banco (Já recebi de todos os bancos possíveis isto);


• Para a Receita Federal do Brasil para quaisquer coisa referente ao seu CPF / CNPJ.


• Para ver aquela "Imagem do Final de Semana", ou qualquer variável disso.


• Para outros motivos quaisquer que você ache suspeito.

Existem algumas diretrizes que devemos seguir durante nossos dias online. São elas:

1. BANCOS NÃO ENVIAM E-MAILS DE ATUALIZAÇÃO DE NADA PARA VOCÊ.
   Acredite em mim nisso, boas notícias demoram a chegar. Já as más notícias, vêem voando!
   Bancos não pedem NADA aos clientes por e-mail, 5 membros de minha família trabalham ou já trabalharam em Bancos, mesmo possuindo seu e-mail no cadastro, eles não te mandam NADA através dele.
   MOTIVO: é um meio inseguro ou que pode abrir brechas de segurança (vide conceitos de "engenharia social" que hackers como Kevin Mitnick já aplicaram para obter dados).
2. RECEITA FEDERAL NÃO ENVIA E-MAILS PEDINDO DADOS SOBRE SEU CPF.
   
   Ainda mais agora que o sistema deles de consultas tem código de acesso, eCPF e tudo o mais... por e-mail nada, só via o site oficial.


3. QUEM TE FLAGRA COM OUTRA(O) NÃO ENVIARIA E-MAILS PARA VOCÊ, MAS PARA A VÍTIMA DE SUA INFIDELIDADE.
   A não ser que um amigo(a) queria fazer tão boa ação e você seja realmente estúpido ou infiel ao ponto de ser flagrado em ato duvidoso ou queira bancar o Hugh Grant.


4. ÓRGÃOS FEDERAIS, ESTADUAIS, MUNICIPAIS NÃO ENVIAM E-MAILS NÃO SOLICITADOS PARA VOCÊ.
   Em um mundo ideal (que não estamos nele, infelizmente, isto facilitaria enormidades em nosso cotidiano, a eliminação de algumas atividades monótonas e odiosas como esperar que alguém te atenda depois de algumas horas nas filas dos órgãos públicos, mas... estamos onde estamos).

Atualizarei mais itens caso sejam necessários.

 

Mas em suma: mensagens de Phishing Scam são golpes, no nosso bom, conhecido [e confuso] português.

E elas devem ser tratadas como tal.

Existem formas de investigar ao menos a origem destas mensagens. Vejamos a seguir algumas formas mais básicas possíveis.

 

Como Obter informações sobre a ORIGEM das mensagens de Phishing Scam?

Em todos os programas leitores de e-mails ou mesmo em serviços online como o GMail, Hotmail, Yahoo!Mail e outros, existem opções para você resgatar a mensagem recebida de forma ORIGINAL.

Explico:

As mensagens de e-mails como as vemos nos leitores, são reduzidas da forma original que os servidores e programas as recebem pois o corpo completo possui dados que são necessários somente para eles, como o caminho percorrido, qual o usuário, computador, IP, domínio originário que enviou determinada mensagem.

Alguns destes dados ficam ocultos para não prejudicar a nossa leitura das mensagens, ou você conseguiria ler isto:

---

MIME-Version: 1.0
Received: by 10.68.74.228 with HTTP; Fri, 24 Feb 2012 06:35:06 -0800 (PST)
Date: Fri, 24 Feb 2012 12:35:06 -0200
Delivered-To: danilosneto-arroba-gmail-ponto-com
Message-ID: <CA+oFvkgrKxfrKBWkb_SzDDUU7ff1_TBkJVxHJubWGBL0whBaSQ@mail.gmail.com>
Subject: =?ISO-8859-1?Q?Voc=EA_conseguiria_ler_uma_mensagem_assim=21=3F?=
From: Danilo Strauss Neto <danilosneto-arroba-gmail-ponto-com>
To: Danilo <danilosneto-arroba-gmail-ponto-com>
Content-Type: multipart/alternative; boundary=bcaec52e58bdc148d904b9b6aa38

--bcaec52e58bdc148d904b9b6aa38
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

S=E9rio, voc=EA conseguiria REALMENTE ler uma mensagem se ela possu=EDsse t=
odas estas informa=E7=F5es?

Confuso n=E3o =E9?

Abra=E7os, obrigado pela sua leitura, o texto est=E1 confuso? 
Feedbacks para @danilosneto ou <danilosneto arroba gmail ponto com>.

Atenciosamente,
----------------------------------------
Danilo Strauss Neto, designer gr=E1fico
&lt;danilosneto arroba gmail ponto com&gt;
http://dbrainstorms.blogspot.com/

--bcaec52e58bdc148d904b9b6aa38
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

S=E9rio, voc=EA conseguiria REALMENTE ler uma mensagem se el=
a possu=EDsse todas estas informa=E7=F5es?

Confuso n=E3o= =E9?

Abra=E7os, obrigado pela sua leitura, o text=
o est=E1 confuso? Feedbacks para @danilosneto ou <danilosneto arroba gma=
il ponto com>.

Atenciosamente,<br clear=3D"all">----------------------=

------------------
Danilo Strauss Neto, designer gr=E1fico
<a href=3D=
"mailto:danilosnetoarrobagmailpontocom" target=3D"_blank">danilosneto arrob=
a gmail ponto com</a>
<a href=3D"http://dbrainstorms.blogspot.com/" targ=
et=3D"_blank">http://dbrainstorms.blogspot.com/</a>


--bcaec52e58bdc148d904b9b6aa38--

---

Como acessar esta versão da mensagem (ou "Original" ou "Código-fonte da Mensagem")

1. Para acessar este conteúdo na forma original, você deverá procurar:

• GMail: opção "Mostrar Original" ("Show Original") no canto superior direito da janela da mensagem no menu drop-down;
  
  
• Hotmail: opção "Ver código-fonte mensagem" ("View message source") no canto superior esquerdo da janela da mensagem no menu drop-down .
  
  
• Nota: São estas opções pois usei somente estes serviços, mas não é difícil encontrar esta opção nos outros serviços de webmail e/ou programas de leitura offline como Outlook, Outlook (ugh!) Express, Live Mail, Mozilla Thunderbird, etc.

2. Na janela ou aba nova que se abre, localizar as informações:

Campo / Bloco Received: contém alguns valores como a seguinte estrutura.

" from <servidor de origem> ([ IP do serv. de origem ]) by <servidor de seu serviço de e-mail> with <Programa no Servidor que recebeu>; "



Note que, se o <servidor de origem> não for o esperado, por exemplo, se um amigo lhe enviou um e-mail suspeito e ele usa gmail, yahoo, etc. o servidor tem de ser igual ao do e-mail ou próximo. Se ele usa gmail, deverá ter vindo de um servidor com final google.com, se hotmail/msn, vindo de um servidor com final hotmail.com ou msn.com e por aí vai.



Está vago ainda!? Pois então vamos a um exemplo de 1 dos e-mails que foi levantado e investigado com sucesso pelos feras do Abuse da Locaweb.

Por exemplo:

Received: from hm1481-30.locaweb.com.br ([201.76.49.242]) by COL0-MC3-F48.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
  Thu, 19 Jan 2012 05:11:40 -0800
Received: from mcbain0001.locaweb.com.br (189.126.112.11) by hm1481-10.locaweb.com.br (PowerMTA(TM) v3.5r13) id h30b8o0nvasn for <danilosneto-arroba-hotmail-ponto-com>; Thu, 19 Jan 2012 10:52:20 -0200 (envelope-from <danilosneto@hotmail.com>)
Received: from bart0001.locaweb.com.br (bart0001.email.locaweb.com.br [200.234.210.67])
 by mcbain0001.locaweb.com.br (Postfix) with ESMTP id 2653B2C22B
 for <danilosneto-arroba-hotmail-ponto-com>; Thu, 19 Jan 2012 10:52:20 -0200 (BRST)
X-LocaWeb-COR: locaweb_2009_x-mail
Received: from AtiMobility-PC (unknown [187.53.34.168])
 (Authenticated sender: MUY-AMIGO@DOMINIO-SEM-NOÇÃO-ACABADO-DE-REGISTRAR.COM)
 by bart0001.locaweb.com.br (Postfix) with ESMTPA id C24C545D717A1
 for <danilosneto-arroba-hotmail-ponto-com>; Thu, 19 Jan 2012 10:52:19 -0200 (BRST)
From: danilosneto-arroba-hotmail-ponto-com
Subject: oi tudo bem?
To: danilosneto-arroba-hotmail-ponto-com

Tá vendo a coisa toda?

Como que eu, com e-mail no hotmail, enviaria um e-mail para MIM MESMO, com links de fotos que eu NÃO TIREI... teeeeeempo!

Verifique que os textos em vermelhão, são dos servidores de onde originou o e-mail, e do meu "MUY AMIGO" do DOMÍNIO SEM NOÇÃO ACABADO DE REGISTRAR...

Num simples acesso ao site whois.sc, verifiquei que o domínio investigado tinha sido registrado há menos de 1 mês (o mais antigo deles).

Agora vamos para o prático: denunciar estes infelizes golpistas digitais que nem português sabem escrever direito.

3. Como denunciar Phishing Scam:

Caso este <servidor de origem> for diferente do esperado, num e-mail suspeito como no exemplo acima, a solução é uma só:

Copiar a "Mensagem Original" ou "Código-fonte da mensagem" e enviar para o e-mail abuse@< final do servidor de origem>, no exemplo acima, locaweb.com.br.

Depois disso feito, aguarde as notificações do abuse@< final do servidor de origem> com a possível solução do seu caso.

---

Agora um Report de hoje de manhã:

Acessei meu já desativado e-mail do Hotmail e achei estranho um desses e-mails.

Mais curioso ainda o remetente: EU MESMO.

Com o assunto "Favor efetuar pagamento". É.... cuma!?

Abri o e-mail, a mensagem dizia para efetuar um pagamento, se dizendo de uma Assessoria Contábil.

Como tinha absoluta certeza que não havia me mandado este e-mail.

Abri o fonte e estava lá estas informações do exemplo acima, nem tive dúvidas, acionei, com um pouco de dificuldade para encontrar a opção certa de denúncia, a página de Atendimento do <servidor de origem> que no caso era a Locaweb de onde havia partido o e-mail.

Como estava no Twitter, tuitei sobre o ocorrido em http://bit.ly/phishing-via-lcwb, durante a escrita de um e-mail para eles via formulário em http://bit.ly/Akeawh .

Ao que o suporte da Locaweb prontamente me replicou no Twitter antes mesmo de eu finalizar o e-mail com o pedido de esclarecimentos.

Reportei mais dados do ocorrido em resumos no twitter a ver http://bit.ly/A1k012, http://bit.ly/wBBKwy, http://bit.ly/AcouJB, http://bit.ly/wSYcdt, http://bit.ly/AsuSqr, http://bit.ly/A5YNCL, http://bit.ly/wa605Q, http://bit.ly/xsO9wI.

Resultado da ação: 3 domínios a menos para incomodar pessoas de bem no Brasil.

E você?

Vamos começar a retomar a nossa Internet fazendo ela mais limpa e segura no Brasil?

Recapitulando...

Num exemplo prático, com a minha denúncia para a Locaweb, eles conseguiram detectar 3 sites que haviam usado meu e-mail indevidamente... descobri isto pois havia recebido um e-mail que EU MESMO "enviei" com os títulos:

• "Favor efetuar pagamento."
• "oi tudo bem?"
• "RE: Consta debito em atraso"

Não era de se duvidar!?

Pois então, com a minha denúncia e a pronta resposta e investigação da equipe de segurança da Locaweb, conseguiram detectar e apagar 3 fraudadores de seus bancos de dados.

Agora, imagine se cada 1 de nós conseguir denunciar ao menos 1 destes fraudadores digitais?
Pense o quanto a internet no Brasil não se tornaria um "lugar", um "espaço" melhor para a interação de todos?

Obrigado pela sua atenção (e paciência) na leitura deste humilde e singelo texto.

Comentários e críticas construtivas serão sempre bem-vindas através do espaço abaixo, via twitter @danilosneto ou através do e-mail (danilosneto arroba gmail ponto com).

Não é querendo fazer merchan, mas a equipe da Locaweb me passou informações sobre Spoofing no link: midi.as/V13.

Que é mais próximo do que ocorreu (receber e-mails que não enviei com meu próprio endereço de e-mail). Valeu @locaweb_ajuda.