você está aqui: Home  → Colunistas  →  Legaltech

Golpe Virtual da Caixa passa a circular esta semana

Por José Antonio Milagre

Data de Publicação: 25 de Agosto de 2009

Mais um Golpe de Phishing Scam passou a circular na manhã desta terça-feira (25 de agosto de 2009) na Internet. Por meio dele, o usuário recebe um e-mail aparentemente de "CAIXA", com o assunto "Componente Atualizado Caixa", com um texto que certamente foi revisto por um professor de português (ao contrário de muitos que circulam onde percebe-se claramente que o atacante peca em sua gramática):

  Your browser may not support display of this image.

Ao analisarmos as propriedades do E-mail verificamos na verdade que se trata de um e-mail "caixa@rec.org", o que por si já é suficiente para constatar a fraude. Ao analisarmos o header (cabeçalho do e-mail), nota-se que os criminosos utilizam o serviço "privatedns", com Ips alocados fora do Brasil:

  Return-path: <nobody@cl-t030-521cl.privatedns.com>
  Envelope-to: jose.milagre@legaltech.com.br
  Delivery-date: Tue, 25 Aug 2009 10:37:39 -0300
  Received: from ip-67-205-74-71.static.privatedns.com ([67.205.74.71] helo=cl-t030-521cl.privatedns.com)
  by servidor1.aquaticbrasil.com.br with esmtps (TLSv1:AES256-SHA:256)
  (Exim 4.69)
  (envelope-from <nobody@cl-t030-521cl.privatedns.com>)
  id 1MfwDT-0005Mx-0o
  for jose.milagre@legaltech.com.br; Tue, 25 Aug 2009 10:37:39 -0300
  Received: from nobody by cl-t030-521cl.privatedns.com with local (Exim 4.69)
  (envelope-from <nobody@cl-t030-521cl.privatedns.com>)
  id 1MfwD9-0001aJ-Cu
  for jose.milagre@legaltech.com.br; Tue, 25 Aug 2009 18:37:19 +0500
  To: jose.milagre@legaltech.com.br
  Subject: Componente Atualizado CAIXA.
  From: CAIXA <caixa@rec.org>
  MIME-Version: 1.0
  Content-type: text/html; charset=iso-8859-1
  Content-Transfer-encoding: 8bit
  Reply-To: CAIXA <caixa@rec.org>
  Message-ID: <58c06cb77ac55bbefb37935af65fb136@rec.org>
  X-Priority: 3
  X-MSmail-Priority: High
  X-Mailer: Microsoft Office Outlook, Build 11.0.5510
  X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441
  X-Mailer: iGMail [www.ig.com.br]
  X-Originating-Email: [CAIXA]
  X-Sender: CAIXA
  X-Originating-IP: [201.201.120.121]
  X-iGspam-global: Unsure, spamicity=0.570081 ? pe=5.74e-01 ? pf=0.574081 ? pg=0.574081
  Date: Tue, 25 Aug 2009 18:37:19 +0500
  X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
  X-AntiAbuse: Primary Hostname ? cl-t030-521cl.privatedns.com
  X-AntiAbuse: Original Domain ? legaltech.com.br
  X-AntiAbuse: Originator/Caller UID/GID ? [99 99] / [47 12]
  X-AntiAbuse: Sender Address Domain ? cl-t030-521cl.privatedns.com

Interessante que na falsa identidade, o criminoso tem o cuidado de utilizar imagens que realmente são do site do Banco. Veja, com trechos do código html:

  <tr>
  
  <td style="text-align: left; background-color: rgb(0, 0, 153);"><img
  
  src="http://www.caixa.gov.br/_newimages/icaixa/header_caixa.jpg"
  
    alt="cef" style="" /><img style="width: 141px; height: 57px;" alt="bank"
  
    src="http://www.caixa.gov.br/_newimages/icaixa/O_banco_que_acredita.jpg" /></td>
  
  </tr>

Então verificamos o link onde o suposto arquivo é baixado:

  http://213.42.201.62/conn3.asp?http://www.caixa.gov.br/Modulo?card_id=3948298d8v9y589498veimv4y45r9er8v13

Note que o falsário usa o site da caixa como "querystring", apenas para iludir a rápida investida visual de um usuário menos atento.

Ao clicarmos no Link somos direcionados a um arquivo chamado "CAIXA.exe". Este arquivo, testado em nosso laboratório, instala um código kernel mode que prejudica o acesso ao site da maioria dos bancos brasileiros, capturado dados digitados, teclado virtual e os remetendo via ftp para o criminoso. (Embora o código também tenha função para envio de e-mail).

Se recebeu este e-mail, não o execute, apague imediatamente. Se já executou, desconecte a máquina da Rede e procure um especialista.

Sobre o autor

José Antônio Milagre José Antonio Milagre possui MBA em Gestão de Tecnologia da Informação pela Universidade Anhanguera. É Analista de Segurança e Programador PHP e C, Perito Computacional em São Paulo e Ribeirão Preto, Advogado Especializado em Direito da Tecnologia da Informação pelo IPEC-SP, graduado pela ITE-Bauru, Pós-Graduado em Direito Penal e Processual Penal pela Faculdade Fênix-SP, com defesa de tese e área de concentração Crimes Eletrônicos, Valor Probatório e o Papel da Computer Forensics, Extensão em Processo Eletrônico pela Universidade Católica de Petrópolis-RJ, Treinamento Oficial Microsoft MCP, Certificação Mobile-Forensics UCLAN-USA/2005, Professor Universitário nos cursos de TI e Direito da Anhanguera Educacional e de Direito e Perícia Eletrônica na Legal Tech em Ribeirão Preto-SP , Professor da Pós-Graduação em Direito Eletrônico pela UNIGRAN, Dourados/MS (Perícia Computacional), Professor da Pós-Graduação em Segurança da Informação do Senac-Sorocaba, Professor da Pós-Graduação em Computação Forense da Universidade Presbiteriana Mackenzie. Vice-Presidente da Associação Brasileira de Forense Computacional e Presidente da Comissão de Propriedade Intelectual e Segurança da Informação da OAB/SP 21 a . Subsecção, membro do Comitê de Comércio Eletrônico da FECOMERCIO-SP, membro do GU LegislaNet e TI Verde da SUCESU-SP e palestrante convidado SUCESU-ES. Professor Convidado LegalTech, UENP-Jacarezinho, UNESP, FACOL, ITE, FGP, nas áreas de Segurança da Informação, Direito Digital e Repressão à crimes eletrônicos. Co-Autor do Livro "Internet: O Encontro de dois mundos, pela Editora Brasport, ISBN 9788574523705, 2008.


Para se manter atualizado sobre as novidades desta coluna, consulte sempre o newsfeed RSS

LegalTech NewsFeed RSS

Para saber mais sobre RSS, leia o artigo O Padrão RSS - A luz no fim do túnel.

Recomende este artigo nas redes sociais

 

 

Veja a relação completa dos artigos de Cesar Brod