|
|
Pequenos
golpes, grandes pilantras. Phishing scams, instalação
de cavalos de tróia e outras maldades.
|
|
Todos os dias a imaginação dos spammers-vigaristas entra
em ação na busca de nova modalidade de golpe para tomar
dinheiro de internautas. Veja exemplos de mensagens contendo links para
páginas contendo programas malignos.
Por que o título de pequenos golpes?
O cavalo de tróia instalado no computador da vítima pelos
grandes pilantras é, geralmente, do tipo keylogger,
ou seja eles registram o que se digita no teclado e transmite esses
dados para o computador do vigarista, especialmente os dados referentes
a contas bancárias e cartões de crédito.
Quando o golpista encontra-se de posse desses dados - de cartões
de crédito e de contas bancárias - eles fazem transferências
e pagamentos sangrando, assim, a conta da vítima. Os pagamentos
e transferências são de pequeno valor que é para
não chamar a atenção nem da vítima nem do
setor de segurança dos bancos e administradoras de cartão
de crédito.
Alguns detalhes das mensagens enviadas pelos golpistas chamam a atenção
como a imagem do clip contida em duas delas. Ambas foram chupadas do
mesmo lugar: http://gfx2.hotmail. com/mail/ w3/ltr/i_attach.gif.
Coincidência ou reincidência?
O lugar onde os golpistas hospedam seus programas é variável
e muitos lá se encontram devido a falhas de segurança
do provedor. Quem der moleza serve, mas os pilantras têm preferências
especial pelos serviços do fileden.com/.
Veja o caso do W32/Themida_ Packed! Eldorado, também
conhecido como Trojan-Downloader. Win32.Bagle. Uma
vez instalado, ele entra em contacto com o computador remoto para
- informar que o computador infectado encontra-se conectado à
Internet,
- fazer o download e executar programas,
- receber instruções a partir do computador do golpista,
- enviar dados capturados do computador infectado.
Alguns
dos estratagemas mais frequentes usados pelos pilantras.
Pedido
de orçamento.
From: Márcia
Maques de Souza
Sent: Thursday, September 09, 2010 1:16 PM
Subject: Pedido de Orçamento.
1 anexo: Orçamento.zip
(149,87 KB)
Olá, estou fazendo uma pesquisa e gostaria
de saber o valor desse orçamento.
Aguardo Resposta.
Atenciosamente,
Márcia Maques de Souza
(11) 3619-8915 / 9131-3101 |
O
programa Orçamento.zip encontrava-se
hospedado em https://www.opendrive.com/ files/
7113357_MoRiZ_3885 e instalava o cavalo de tróia W32/Themida_
Packed! Eldorado ou Trojan-Downloader.Win32.Bagle.
Débitos
pendentes.
From:
LIDERANÇA COBRANÇAS.
To: LIDERANÇA COBRANÇAS.
Sent: Friday, September 03, 2010 1:54 PM
Subject: 13:54 - Débitos pendentes.
13:54 2 anexos Baixar todos os anexos
(24,6KB)
Debitosmes07.doc
(12,2KB), Debitosmes08.doc (12,4KB)
------------------------------------
LIDERANÇACOBRANÇAS
Consta em nosso sistema débitos pendentes, estamos com uma
oportunidade unica para negociação.
Os débitos pendentes estao em anexo obrigado.
LIDERANÇA COBRANÇAS. Rua
Sete de Abril, nº 230, 3o andar, Bloco A, Centro, São
Paulo, SP - CEP 01044-000
DDR / FAX (11) 2101-0400
DDG 0800-770-0509
Email:faleconosco@liderancacobrancas.com.br
|
O arquivo
_visualizar.zip contendo o programa maligno
encontrava-se hospedado em http://www.
iamngri.com/ games/ language/ lang_english/ _visualizar.zip
e instalava o Trojan-Downloader. Win32. Camec!IK.
Sinceramente!
From:
Eu
Sent: Friday, September 03, 2010 11:17 AM
Subject: Foi voce...
SINCERAMENTE
Palavras as vezes mexem com a gente,
mas as vezes nos deixa com dúvidas. Nada contra as palavras,
mas desta vez prefiro usar imagens para te falar algo tão
importante, que só palavras não iria te convencer
de que tudo isso é verdade.
Talvez depois dessas imagens você ouça palavras que
formem a velha frase "não é nada disso que
você está pensando!"
Imagens em anexo
Visualizar , imagens |
O programa
maligno imagens.avi.exe hospedava-se em
http://www.paponaweb 2010.com e instalava
o cavalo de tróia Trojan-Downloader. Win32.Zudz.en.
"Acessoria"
(sic)
From:
finaceiro@hirconconsultoria.com
Sent: Wednesday, September 01, 2010 8:18 PM
Subject: Fatura Vencida 
Anexo (Boleto_Bancário-Junho.doc)
232 KB
____________________
Hircon Acessoria Consultoria e Cobranca LTDA
Prezado cliente,
Consta em nosso sistema uma fatura vencida referente
ao mês de Junho (06/2010),
caso não tenha efetuado o pagamento segue
o extrato em anexo.
Agradece a Gerência. |
O programa
maligno encontrava-se hospedado em http://www.
segurancainstalacao. com/ Fatura.php.
"Enteressado"
(sic)
From:
comprastecnisa@tecnisa.com.br
To: bartonm@pwsint.co.uk
Sent: Monday, August 30, 2010 6:42 AM
Subject: TECNISA CONSTRUTORA LTDA, ORCAMENTO!
O Departamento de Compras da TECNISA CONSTRUTORA LTDA, estaremos
com o Orçamento nº 2.274/2010 em aberto no periodo
de 30/08/2010 a 03/09/2010,
Caso esteja enteressado, favor remeter sua proposta ao e-mail:
comprastecnisa@tecnisa.com.br
So serao validas as proposta que constarem as formas de pagamento,
e o prazo para a entrega.
Contamos sua Proposta. Atenciosamente TECNISA CONSTRUTORA LTDA.
ANEXO: http://www.fileden.com/ files/2010/4/21/
2835603/TomadadePrecos.zip
|
O programa
executável Tomadade Precos.zip instala
o cavalo de tróia Downloader. Banload.BAGO.
O remetente da mensagem tem preferência especial pelos serviços
de hospedagem do provedor fileden.com.
Veja a data e o nome dos arquivos infectados:
2010/10/26/3002261/TECNISA_Cotacao.zip
- 02-nov-2010;
2010/10/26/3002269/TECNISA_Cotacao.zip
- 03-nov-2010;
2010/10/26/3002283/TECNISA_Cotacao.zip
- 11-nov-2010;
2010/4/22/2836620/TECNISATomadadePrecos.zip
- 22-set-2010;
2010/4/21/2835586/TomadadePrecosTecnisa.zip
- 29-set-2010;
2010/6/7/2882933//cotacao.zip
-08-jun-2010
2010/4/20/2834628/TECNISA_Cotacao.zip
- 26-10-2010
Endereço
errado.
From:
FedEx Logistics
Sent: Thursday, September 09, 2010 4:42 AM
Subject: FedEx Tracking Number 201390728
Dear customer.
We were not able to deliver your package to
your address.
Reason: Error in delivery address.
Attention!
Get your parcel in your local post office.
The postal label is attached to this e-mail.
We kindly ask you to print it and take it to the post office to
pick up the package.
Thank you!
FedEx Express Freight.
|
O arquivo
anexado denominado FedEx_postal_ label_Nr3181.zip
(22,4) instala o cavalo de tróia Trojan.Dropper. Oficla.AJ.
Fotos
da sua mulher.
From:
Fleurantin Boocock
To: Folkins Bechman
Sent: Saturday, September 04, 2010 9:48 PM
Subject: Your wife photos attached
Your wife photos
|
O arquivo fluttered.zip
(12,0KB), anexado à mensagem, foi submetido ao VirusTotal e nenhum
cavalo de tróia foi detectado.
"Voçe"
feliz!
From:
braspress@braspress.com.br
Sent: Wednesday, August 25, 2010 12:26 AM
Subject: BRASPRESS Transportes
Seu malote não chegou? calma seus problemas
acabaram, conheça as vantagens de ser um cliente BRASPRESS
TRANSPORTES LTDA.
Cliente Braspress tem 40 dias para pagar a partir da data de entrega,
e tudo isto no boleto bancário que será entregue
no seu endereço.
Cobrimos todo territorio nacional, "Pontualidade é
o nosso compromisso, e nossa satisfação é
ver voçe feliz!"
Anexo: http://www.fileden.com/files/
2010/4/21/2835586/BRASPRESS.zip
|
O programa
executável BRASPRESS.zip
instalava o cavalo
de tróia Trojan-Dropper.Win32. Agent.cvcb. ou
TROJ_DROPPER.OOP.
Comprovante
de Depósito
| From:
Rogerio Lima Costa
To: Recipients
Sent: Tuesday, August 24, 2010 11:29 PM
Subject: Segue Anexo o Comprovante de Deposito conforme consta
em contrato.
Comprovante Deposito-24082010 (492kb)
Ola,
O dinheiro ja foi depositado.
Segue em anexo o comprovante do depósito
com os dados e o valor.
Favor conferir atenciosamente os dados do depósito
e o valor no comprovante enviado.
Caso haja algum tipo de divergência nos
dados ou valor, favor comunicar para que possamos tomar as medidas
necessárias.
Atenciosamente,
Rogerio Lima Costa |
O programa
maligno encontrava-se hospedado em http://189.43.121.139/
.../. manager/ Comprovante Deposito24082010.php e instalava o
cavalo de tróia Downloader. Banload.AZZL ou
TROJ_ DLOADER.YGH.
A
Maior Financiadora da Ámerica Latina
From:
noreply@fininvest.com
Sent: Saturday, August 21, 2010 1:15 AM
Subject: Fininvest - A Maior Financiadora da Ámerica Latina
Anexo: Comprovante_1.3843-9/2010
(260 Kb)
______________________
Encaminhamos junto à este e-mail, um arquivo
em anexo contendo todas as informações do "Depósito
Identificado no. 1.3843-9/2010".
Pedimos que confira todos os dados e caso haja alguma divergência
solicitamos que retorne com o máximo de antecedência.
Atenciosamente,
Felipe Muller
Assistente Financeiro
Para acessar sua conta Fininvest Online, digite
os 6 primeiros números do CPF: OK
|
O programa
executável de nome Comprovante_1.3843-9/2010
encontrava-se hospedado
em http://wwwacessofininvest. 110mb. com/ index.php
e instalava o Email-Worm. Win32.VB ou W32/VB-Backdoor-PEK-
based!Maximus.
Empréstimo
de 3.000,00 reais.
From:
admin@finivest.com.br
Sent: Saturday, August 14, 2010 12:27 AM
Subject: Contrato Fininvest
Anexo: Contrato em anexo
do emprestimo 24 KB.
______________________
Encaminhamos junto à este e-mail, um arquivo em anexo contendo
todas as informações sobre o emprestimo solicitado
no valor 3.000,00 reais".
Ficando as parcelas em 24 de 186,23 reais.
Confirme os dados da conta para deposito, pois a mesma não
está em seu nome.
Atenciosamente,
Felipe Mueller
Assistente Financeiro
Para cancela contrato e o deposito: Clique
aqui
13/08/2010 | 17h 02m 20s
|
O programa
executável encontrava-se hospedado em http://casadoleite2010.
tempsite.ws/ contrato.com.
Curriculum
com cavalo de tróia.
| From:
Lamar Hewitt
Sent: Saturday, August 21, 2010 4:34 PM
Subject: Please look my CV. Thank you Hello!
I have figured out that you have
an available job.
I am quiet intrested in it. So I send you my resume,
Looking forward to your reply.
Thank you |
O arquivo
My_Resume_ ID478.zip anexado à mensagem
instala o cavalo de tróia Trojan.Win32. Agent2.cuyv.
Debitos
Pendentes.
From:
saga.financeiro@saga197763.com
Sent: Monday, August 16, 2010 7:46 AM
Subject: Fw: Acerto via cobranca
Mensagem:
Entre em contato urgente
Extrato 2ª via Debitos Pendentes:
Anexo: Debitos_Titulos.doc
( 371.5 KB )
Obrigado.
|
O programa
maligno encontrava-se em página redirecionada pelo link http://bit.ly/bWfmMJ.
Comprovante de Transferência
From:
jmendes@jmendes86000.com
Sent: Sunday, August 15, 2010 2:49 AM
Subject: FW: Comprovante De Deposito
Comprovante de Transferência - 1974628
Link de acesso do comprovante: Transferencia-1974628
Desculpe a demora, mas só agora consegui
transferir o seu dinheiro.
Segue na mensagem o comprovante de transferência interbancária
com os dados e o valor, desculpe o transtorno.
|
O programa
executável encontrava-se hospedado em http://jmcobrancas.
com/ deposito.com.
Falso
procedimento contratual.
From:
suzuki@no-reply.com.br
Sent: Sunday, September 26, 2010 4:49 PM
Subject: cópia do procedimento contratual
Olá, bom dia!
Conforme solicitado, estamos enviando uma cópia
do procedimento contratual da empresa para que vossa senhoria possa
analizá-lo e então nos retornar para que possamos
então dar continuidade na contratação dos serviços.
Favor entrar em contato caso exista alguma
dúvida. Atenciosamente, Debora Suzuki
Diretora de Marketing
---------------------
Anexado: Proposta.doc (54 Kb);
--------------------- |
O programa
maligno encontrava-se hospedado em http://kardes.nilufer.bel.tr/images/
Acesso.php? LoginAutenticacao.do? value=KPQQJZ41KK4NX9034 &PropostaCC=Doc.
Que vergonha
pra medicina!!!!!
From:
Noticiaonline
Sent: Monday, November 01, 2010 1:02 PM
Subject: Que vergonha pra medicina!!!!!
Falso medico e pego fasendo atos sexuais com a paciente dopada
http://fotosevideovidanova.110mb.com/index.php
|
No
caso da Noticiaonline, o programa maligno encontrava-se hospedado em
http:// fotosevideovidanova. 110mb.com/ index.php
e instalava o Trojan.Dropper/ Gen-PHP ou Packed_
NTKrnl.B.
Comprovante
de ressarcimento.
| Assunto:
Comprovante de ressarcimento.
De: "GMAC" <gr.reinaldo.silva@bancogmac.com.br>
Data: Ter, Novembro 16, 2010 1:20 am
Comprovante09112010 (564kb)
Segue em anexo o comprovante de depósito
em conta corrente do ressarcimento do contrato N ° 185764860.
Pedimos que confira seus dados e extrato e verifique
se todas as informações e valores estão corretos
para confirmar nosso procedimento de em nosso sistema
Atenciosamente,
Reinaldo Silva
Departamento Financeiro
BANCO GMAC S.A.
www.bancogmac.com.br
Av. Indianópolis, 3096 - São Paulo
- SP
(11) 3345-2334 / 3345-2354 |
O suposto
comprovante de ressarcimento encontrava-se hospedado em http://220.162.243.60/
POpGTONE/ install_flash _player.asp. O IP 220.162.243.60 encontra-se
localizado em Shangai, na China. O Banco GMAC fica em São Paulo.
Pedido aprovado.
O programa maligno
encontrava-se hospedado em http://www.seasonals.ca/
modules/mod_hos/ pedido2038.php.
| Assunto:
Pedido Aprovado
De: "Pedido Aprovado" <comprafacil@comprafacil.com>
Data: Qua, Novembro 3, 2010 12:50 pm
Prezado(a) Cliente,
Gostaríamos de informar que o debito em seu
cartao de credito foi efetuado e o pagamento ja foi confirmado.
Sua mercadoria ja esta em transporte.
Lembramos que para facilitar o recebimento, e necessario que haja
alguem autorizado no local da entrega.
Previsao de entrega:
27/11/2010.
Para acompanhar seu pedido, por favor acesse o link
abaixo:
www.comprafacil.com.br/ pedido.asp?pedido 2038=sp?confirmada
Atenciosamente, SAC - www.comprafacil.com.br |
COMPROVANTE SOLICITADO.
From: Martins
To: Recipients
Sent: Sunday, December 05, 2010 1:45 AM
Subject: Contato - COMPROVANTE SOLICITADO.
Prezado Sr. (a)
Conforme solicitado, foi efetuado o pagamento via transferência
na data de Hoje 02/12/2010 segue junto a mensagem o acesso ao comprovante.
Arquivo em Anexo : Comprovante_Transferencia.bmp
( 9,72 KB )
Como norma da nossa empresa, assim que confirmar o mesmo favor retornar
a confirmação!
ATT: Martins
Comércio e Serviços de Distribuição S/A.
CNPJ: 43214055000107
Inscrição Estadual: 702.513460.00-75
E-mail: m.comercio@martins.com.br |
O programa maligno encontrava-se hospedado em http://www.vsd-avantages.fr/
publicite/misc/ Martins- ComprovanteTranferencia.php e a imagem
em http://t2.gstatic.com/images? q=tbn:o3l20H
ngcXncMM:http:// www.atribunanews.com.br/ photo/ 1243263947 transferencia.
jpg&t=1.
Veja o falso comprovante ampliado:
O remetente é a Federação de Futebol de Mato Grosso
do Sul e o destinatário (ilegível) Esporte Clube.
A data da transferência, conforme o documento, é 30.03.2009.
|
Siga pulhas virtuais no Twitter
Serviço
Central Nacional de Denúncias
de Crimes Cibernéticos
Netiqueta
Dicas
Arquitetando
Coelhos
e coelhinhos
Deixando Rastros
Guia do rock!
Refletindo
|
