Golpe Virtual da Caixa passa a circular esta semana

Justiça dos EUA quer que DVD Jon ajude a produzir provas contra a Apple
agosto 24, 2009
Partido Pirata: novos ventos na política
agosto 26, 2009

Golpe Virtual da Caixa passa a circular esta semana

Por José Antonio Milagre

Data de Publicação: 25 de Agosto de 2009

Mais um Golpe de Phishing Scam passou a circular na manhã desta terça-feira (25 de agosto de 2009) na Internet. Por meio dele, o usuário recebe um e-mail aparentemente de “CAIXA”, com o assunto “Componente Atualizado Caixa”, com um texto que certamente foi revisto por um professor de português (ao contrário de muitos que circulam onde percebe-se claramente que o atacante peca em sua gramática):

  Your browser may not support display of this image.

Ao analisarmos as propriedades do E-mail verificamos na verdade que se trata de um e-mail “<caixa (a) rec org>”, o que por si já é suficiente para constatar a fraude. Ao analisarmos o header (cabeçalho do e-mail), nota-se que os criminosos utilizam o serviço “privatedns”, com Ips alocados fora do Brasil:

  Return-path: <[email protected]>
  Envelope-to: [email protected]
  Delivery-date: Tue, 25 Aug 2009 10:37:39 -0300
  Received: from ip-67-205-74-71.static.privatedns.com ([67.205.74.71] helo=cl-t030-521cl.privatedns.com)
  by servidor1.aquaticbrasil.com.br with esmtps (TLSv1:AES256-SHA:256)
  (Exim 4.69)
  (envelope-from <[email protected]>)
  id 1MfwDT-0005Mx-0o
  for [email protected]; Tue, 25 Aug 2009 10:37:39 -0300
  Received: from nobody by cl-t030-521cl.privatedns.com with local (Exim 4.69)
  (envelope-from <[email protected]>)
  id 1MfwD9-0001aJ-Cu
  for [email protected]; Tue, 25 Aug 2009 18:37:19 +0500
  To: [email protected]
  Subject: Componente Atualizado CAIXA.
  From: CAIXA <[email protected]>
  MIME-Version: 1.0
  Content-type: text/html; charset=iso-8859-1
  Content-Transfer-encoding: 8bit
  Reply-To: CAIXA <[email protected]>
  Message-ID: <[email protected]>
  X-Priority: 3
  X-MSmail-Priority: High
  X-Mailer: Microsoft Office Outlook, Build 11.0.5510
  X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441
  X-Mailer: iGMail [www.ig.com.br]
  X-Originating-Email: [CAIXA]
  X-Sender: CAIXA
  X-Originating-IP: [201.201.120.121]
  X-iGspam-global: Unsure, spamicity=0.570081 ? pe=5.74e-01 ? pf=0.574081 ? pg=0.574081
  Date: Tue, 25 Aug 2009 18:37:19 +0500
  X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
  X-AntiAbuse: Primary Hostname ? cl-t030-521cl.privatedns.com
  X-AntiAbuse: Original Domain ? legaltech.com.br
  X-AntiAbuse: Originator/Caller UID/GID ? [99 99] / [47 12]
  X-AntiAbuse: Sender Address Domain ? cl-t030-521cl.privatedns.com

Interessante que na falsa identidade, o criminoso tem o cuidado de utilizar imagens que realmente são do site do Banco. Veja, com trechos do código html:

  <tr>

  <td style="text-align: left; background-color: rgb(0, 0, 153);"><img

  src="http://www.caixa.gov.br/_newimages/icaixa/header_caixa.jpg"

    alt="cef" style="" /><img style="width: 141px; height: 57px;" alt="bank"

    src="http://www.caixa.gov.br/_newimages/icaixa/O_banco_que_acredita.jpg" /></td>

  </tr>

Então verificamos o link onde o suposto arquivo é baixado:

  http://213.42.201.62/conn3.asp?http://www.caixa.gov.br/Modulo?card_id=3948298d8v9y589498veimv4y45r9er8v13

Note que o falsário usa o site da caixa como “querystring”, apenas para iludir a rápida investida visual de um usuário menos atento.

Ao clicarmos no Link somos direcionados a um arquivo chamado “CAIXA.exe”. Este arquivo, testado em nosso laboratório, instala um código kernel mode que prejudica o acesso ao site da maioria dos bancos brasileiros, capturado dados digitados, teclado virtual e os remetendo via ftp para o criminoso. (Embora o código também tenha função para envio de e-mail).

Se recebeu este e-mail, não o execute, apague imediatamente. Se já executou, desconecte a máquina da Rede e procure um especialista.

fonte: http://www.dicas-l.com.br/legaltech/legaltech_20090825.php

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *