A onda de e-mails falsos parece não ter fim. A cada dia, os golpistas encontram uma nova forma de tentar te enganar.
Já tivemos vários casos, como e-mails falsos de cupons do McDonalds ou mesmo do Uber, e o mais engraçado é que ninguém faz nada a respeito para terminar com isso.
Bom, vou explicar abaixo como você não cair mais nestes golpes, que além de estragarem todo seu computador, eles também podem roubar informações pessoais e senhas, e aí a brincadeira fica cara para você.
Identificando e-mail falso
Peguei um exemplo de um e-mail que recebi estes dias. Só irei esconder o nome do dono do domínio e o CPF dele, e claro o e-mail que foi enviado, pois ele não tem culpa.
O que aconteceu neste caso (e pode acontecer com você) é que este tipo de arquivo capturou suas informações e enviou e-mails através de sua conta de e-mail. Quando uma pessoa recebe um e-mail com seu nome, se ela te conhece, tende a abrir o e-mail sem maiores questionamentos.
Bom, vamos ao e-mail que recebi.
Abri meu cliente de e-mails, no meu caso o Thunderbird, mas isto pode ser feito tanto pelo Outlook, Windows Live Mail, Evolution, ou mesmo seu Webmail.
Cliquei na mensagem:
Selecione seu e-mail duvidoso
E sempre veja no corpo do email: (SÓ VEJA, NÃO CLIQUE EM NADA)
Conteúdo do e-mail falso
Agora, posicione o mouse em cima do suposto link para “Imprimir o boleto PDF”, (NÃO CLIQUE) e veja no rodapé da mensagem o que diz sobre o site que você irá entrar para pegar o boleto PDF:
Verifique o link do boleto
Então já temos algumas informações.
O e-mail que me enviaram: é um e-mail @gmail
O site para fazer o download boleto do PDF: portaldoemprestimobr.com.br
O endereço físico da “empresa”: R. Quinze de Novembro, 228 – Centro
A assinatura do e-mail: Aserc Ass das Empresas de Recuperação de Crédito
Notaram que nada disso bate ?
Primeiro: Uma empresa grande dificilmente utiliza email @gmail.com (principalmente pois este e-mail é de um conhecido meu, e ele não trabalha em empresa de crédito).
Segundo: O site é portaldoemprestimobr e o nome da empresa é Aserc Ass das Empresas de Recuperação de Crédito
Bom, vamos continuar
Buscando por sinais de fraudes
Agora que vem a parte legal.
BUSCANDO PELO SITE, QUEM É O DONO E QUAL O LOCAL DE HOSPEDAGEM ?
Ferramenta simples e grátis. Use o whois
Tela principal do Whois
Lá você digita o nome do site e ele mostra algumas informações, como IP, país de localização, nome do usuário do registro.br que cadastrou este site, etc…
Informações do Whois
E cada vez vai ficando mais estranho…
BUSQUE A EMPRESA NO GOOGLE MAPS
Eu fiz a busca pela empresa, o endereço existe, porém é um prédio e no endereço passado não tem nenhum número de conjunto ou apartamento, ou seja, mais uma coisa errada
Fachada da empresa no Google Maps
TELEFONE VÁLIDO ?
Agora, tentaremos o telefone, com uma simples busca no Google e chegamos no site da Aserc realmente.
Mas, olhem o site da empresa:
Tela do site da empresa – REAL
Ele tem o endereço completo, com andar e e-mail @aserc.org.br, ou seja: provavelmente o golpista do e-mail utilizou as informações de uma empresa verdadeira para usufruir de seu nome.
Por via das dúvidas, resolvi mandar um e-mail para confirmar a veracidade disso tudo:
Infelizmente, aguardei algumas horas para publicar o artigo e não obtive resposta.
Para mim está claro que esta empresa é séria e não tem nada a ver com este golpe, apenas usaram os dados dela.
O tal Boleto PDF
Mesmo com tudo isto, buscando saber do que se trata, peguei um computador com um bom antivírus, não deixei cadastrado nenhuma credencial minha e resolvi “Imprimir o Boleto PDF”.
ATENÇÃO CRIANÇAS: NÃO FAÇAM ISTO EM CASA!
Não cliquei no link, pois como podem ver na imagem do link, ele possui uma terminação com um conjunto de letras e números, e estes provavelmente são identificadores do meu e-mail.
Imagine assim:
O programa (vírus) envia e-mail para marcos@uol.com.br, paulo@uol.com.br e carla@uol.com.br. Para saber quem existe ele envia um e-mail com uma terminação, e para isto ele tem uma tabela.
Exemplo simples só para demonstrar
| link | |
|---|---|
| marcos@uol.com.br | link.com.br/abc001 |
| paulo@uol.com.br | link.com.br/abc002 |
| carla@uol.com.br | link.com.br/abc003 |
Então, se você clicar no link link.com.br/abc001, além de baixar o arquivo, seu e-mail marcos@uol.com.br entra em uma lista de e-mails reais que podem ser infectados.
E uma vez que você entrou nesta lista meu amigo… Demora demais para sair…
Talvez seja por isso que você receba tantos e-mails de fraude assim. Falo por experiência própria, pois eu também caí nessa! ;p
Bom, mas não se desespere, somente tenha mais cuidado e toque sua vida.
Continuando…
Abri somente o endereço do site e ele já faz um download automático de um arquivo. Foi baixado um arquivo ZIP com um nome muito estranho, 20162SirTitulo_docarquivo…zip
Ao abrir este arquivo, o que não era surpresa, veio um arquivo com extensão .cmd, e o mesmo nome.
Arquivos Zipados (.zip) são arquivos compactados, eles são utilizados para comprimir o conteúdo do arquivo, e também podem ser utilizados para “esconder” seu conteúdo. Alguns navegadores (como o Google Chrome) identificam que arquivos .cmd, .bat ou .exesão arquivos potencialmente perigosos e bloqueiam o Download, mas neste caso você está baixando um .zip que ele não reconhece o problema.
Depois de baixado, cabe ao seu antivírus identificar se é um arquivo perigoso ou não, e isto muitas vezes pode passar batido.
Bom, ao baixar o arquivo e abrir, tem o programinha .cmd que é um arquivo que contém comandos que você não tem a menor ideia do que pode ser. Na verdade cada um pode fazer uma coisa, mas lhe garanto que nenhum deles vai fazer coisas boas por você.
É nele que estão escondidos os comandos que irão infectar seu computador, enviar emails, roubar senhas, etc…
Apenas por título de curiosidade, abaixo é uma parte do conteúdo do arquivo infectado.
Conteúdo do vírus
Denunciando e-mails falsos
No começo do artigo eu disse que ninguém faz nada a respeito para resolver estes problemas de e-mails fraudulentos.
A informação que temos no site da nic.br, que é parte do registro.br é que você deve encaminhar o Cabeçalho do e-mail para ctr@dpf.gov.br e nbsc@nic.br e sinceramente não sei se isto funciona em algum momento. Eu mesmo já encaminhei muitos e-mails para lá e nunca obtive nenhuma resposta, mas enfim… É isto que temos para hoje.
Conclusão
Bom, desculpe mas procurei ser o mais detalhista possível neste caso, para você aprender a identificar sozinho estes tipos de problema.
Então NUNCA abra arquivos suspeitos. Aliás, suspeite de todos os arquivos que receber.
Abaixo um resumo e algumas dicas para não acontecer com você.
- Não abra arquivos anexados .EXE, .BAT, .CMD
- Se for um arquivo .ZIP, verifique seu conteúdo
- De preferência não baixe arquivo nenhum sem saber a fonte verdadeira
- Desconfie mesmo dos e-mails de sua lista (ele pode estar infectado e não sabe)
- Verifique a fonte do e-mail, se a empresa existe, se os dados são reais…
- Não carregue também as imagens que vem bloqueadas de destinatários desconhecidos (eles podem identificar seu email com o link)
- Tenha sempre um bom antivírus (temos diversas opções grátis aqui no blog)
- Mantenha seu computador atualizado
E a mais importante: Tenha bom senso. Questione sempre e-mails estranhos.
Um abraço a todos.
