Todos os posts tagados fraude

Falsas ofertas de emprego

por David Sopas em 25 de Março de 2013 em Artigos com 9 Comentários
Falsas ofertas de emprego

Vários visitantes do WebSegura.net têm enviado, para o meu email e via comentários do blogue, um novo esquema fraudulento que oferece aos portugueses um emprego.

O esquema é muito parecido com um já relatado aqui no blogue  no dia 19 de fevereiro. A vítima recebe um email com uma proposta de emprego cativante no qual é requisitado  dados pessoais e cópias de cartões de identificação. O serviço em si é efetuar transferências bancárias de um local para o outro. Ou seja, um intermediário. Geralmente, no meio policial, intitulado de mula.

Este caso em particular neste artigo também envia um contacto inicial via SMS (número –  447624803777), tornando assim este esquema fraudulento um pouco mais elaborado do que o normal.

De referir que o português utilizado no email e na SMS está um pouco descuidado, diria mesmo que foi efectuado com auxilio de um tradutor on-line ou alguém com poucos conhecimentos da nossa língua.

O email, com remetente samuelfonsecaster@gmail.com, é o seguinte (ocultei partes pouco importantes):

A petição de pt-j.net empresa que contacto com você via sms, dirigimos-nos a você para lhe enviar toda a informação de nossa companhia e oferta de trabalho actual em Portugal.

(…)

Somos uma empresa de transporte e logística em Europa, oferece serviços com valor acrescentado nas áreas de transporte por estrada, aéreo e marítimo, a logística , serviços aduaneiros e de reenvio, capaz de fazer que a rede de logística de nossos clientes seja mais eficiente seja qual seja seu sector de actividade. Nosso objectivo é o desenvolvimento sob medida, de alta qualidade e grandes projectos de logística para nossos clientes com o fim de proporcionar uma vantagem competitiva clara.

(…)

A descrição do trabalho a realizar por nossos novos gestores nas primeiras semanas de sua incorporação é a gestão de transferências bancárias, as quais se realizam através de contas pessoais e envios através de sistemas de enviou de dinheiro rápido.

Você se perguntasse o por que desta necessidade, e a resposta é simples, as empresas a nível mundial de enviou de dinheiro em metálico, só aceitam os envios mediante pessoas físicas e não empresas.

(…)

Isto é, salário fixo mensal de 1200 Euros, e uma percentagem de 2% do valor da cada operação, uns 2600 Euros mensais em media, os quais se abonan segundo as condições gerais do contrato.

(…)

Atenciosamente.

John Dankworth
selection@lgtnet.com

LOGISTICS & TRANSPORT LIMITED.

17 Borgmester Jensens Alle
2100 Copenhagen
Denmark

O domínio associado a este esquema – pt-j.net tem os nameservers apontados para o afraid.org (muito utilizado em esquemas fraudulentos para evitar custos); foi registado no dia 19 de março deste ano e tem como telefone associado ao domínio um conhecido hotel de Lisboa.

O domínio pt-hoje.com também apresenta o mesmo website mas está alojado noutro DNS gratuito – freedns.ws. Este registo é mais antigo e está associado a um grupo chinês.

Seguindo o mesmo tipo de pesquisa que utilizei para o outro esquema (http://www.websegura.net/2013/02/cuidado-com-as-falsas-ofertas-de-emprego/), reparei numa breve análise ao código-fonte do site pt-j.net em alguns pontos chave para certificar-me que se trata de uma fraude:

  • O logotipo é uma cópia da empresa espanhola Delta.es
  • Botões dinâmicos não funcionam
  • Endereços de email e telefones são inválidos
  • Logotipo de rodapé é provavelmente o original (Delta.es)
  • Referência à ferramenta Teleport Pro no código-fonte (software que faz o download de páginas web)

Mas como poderá evitar este tipo de burlas?

Siga algumas destas dicas:

  • Fazer sempre um background-check da origem e de quem o contata (exemplo: Google, redes sociais, etc)
  • Utilizar um bom filtro de SPAM (grande maioria destas mensagens de email são logo catalogadas como mensagens não solicitadas)
  • Manter o software atualizado (antivirus, sistema operativo, java, etc… – muitos destes emails são acompanhados com endereços que explorar várias vulnerabilidades em software de larga utilização)
  • Ler o artigo – http://www.websegura.net/2012/02/cuidado-com-as-ofertas-milionarias/

Partilha e ajuda os teus amigos e familiares.

Páginas falsas da Apple no Facebook oferecem iPhone 4S

por David Sopas em 9 de Fevereiro de 2013 em Alerta FB com 10 Comentários
Páginas falsas da Apple no Facebook oferecem iPhone 4s

Tenho reparado que muitos portugueses estão a partilhar um esquema que oferece iPhone 4S gratuitos. As páginas utilizam o nome da empresa Apple e não são oficiais.

O objectivo é angariar gostos e tornar estes esquemas fraudulentos virais.

A situação podia ser mais perigosa se estas páginas falsas partilhassem endereços com malware. Os utilizadores poderiam pensar que vindo da Apple seria credível mas é preciso ter atenção nestes esquemas fraudulentos.

Até à data deste artigo as páginas que tive conhecimento foram:

https://www.facebook.com/R.SocialApple (9.630 gostos)
- https://www.facebook.com/AppleIncPt (13.294 gostos)
https://www.facebook.com/iPhoneSorteios (4.325 gostos)

Se por gostam destas páginas é aconselhável “não gostar”.

Fica o alerta e a dica para partilharem este artigo aos vossos amigos.

Nota:
Fica o agradecimento ao Tito de Morais por ter contribuido para este artigo com informação adicional.

Update:

Apenas uma página – https://www.facebook.com/AppleIncPt – ainda está no ativo e com um novo passatempo. O sorteio de um MacBook Pro 13″ para quem partilhar uma foto (já com 4,321 partilhas). A mesma foto está a ser utilizada em centenas de websites.

Tenham atenção a tudo o que partilham e que concorrem.

Cuidado com os autocolantes com códigos QR

por David Sopas em 12 de Dezembro de 2012 em Artigos com 0 comentários
Cuidado com os autocolantes com códigos QR

Tive conhecimento deste esquema no The Register e achei que devia alertar desta situação.
O esquema passa por colar autocolantes com o código QR em produtos que salientam à vista dos mais curiosos.
O procedimento é bastante simples. Os utilizadores maliciosos geram um código QR com um link malicioso e imprimem num papel autocolante. Colocam em produtos, ou locais públicos, com muito tráfego (telemóveis, produtos alimentarias ou mesmo em painéis publicitários).
Uma pessoa que tente ler no seu smartphone ou tablet o código QR, vê um link e executa (até pode ter um endereço estranho mas… afinal está colado num produto e numa superfície comercial fidedigna).
É um esquema extremamente simples de implementar e que pode ter consequências graves.

O que os utilizadores podem fazer para prevenir este tipo de ataques?

  • Verificar se o código QR está embutido no produto ou no espaço, e não um simples autocolante;
  • Utilizar aplicações de leitura do código QR que avaliam a reputação do link a visitar;
  • Fazer pesquisa do link gerado no código QR;
  • Perguntar ou contatar os responsáveis da superfície, onde está o código QR, pela sua veracidade.

Espero que desta forma possa prevenir que sejam vítimas desta nova fraude.

Fraude UPS – Delivery problem # Error ID9287

por David Sopas em 19 de Outubro de 2012 em Artigos com 2 Comentários
Fraude UPS - Delivery problem # Error ID9287

Tenho recebido imensos emails deste género e cujo ficheiros malware apresentam um baixo rácio de deteção por parte dos antivirus.

O ficheiro compactado em zip é detetado apenas por 2 em 44 antivirus no VT e descompactado, o ficheiro Copy_of_UPS_Label.exe não é detetado por nenhum antivirus no VT. Algo fora de vulgar neste tipo de spam com conteúdo malicioso.
O mesmo ficheiro executável foi submetido por mim nas sandboxes públicas Malwr e Anubis.

O email em si, tem o seguinte cabeçalho:

Return-Path: personal-information@upss.com
Received: from upss.com (OSHWON95-2925431600.sdsl.bell.ca. [174.94.139.48])
by mx.google.com with SMTP id uh5si1598234vec.13.2012.10.19.06.55.56;
Fri, 19 Oct 2012 06:55:57 -0700 (PDT)
Received-SPF: neutral (google.com: 174.94.139.48 is neither permitted nor denied by best guess record for domain of personal-information@upss.com) client-ip=174.94.139.48;
Authentication-Results: mx.google.com; spf=neutral (google.com: 174.94.139.48 is neither permitted nor denied by best guess record for domain of personal-information@upss.com) smtp.mail=personal-information@upss.com
Message-ID: 001201cdae01$7640b991$6502a8c0@upstairsback2
From: “UPS Express” personal-information@upss.com
To: xxxxxx
Subject: Delivery problem # Error ID9287
Date: Fri, 19 Oct 2012 A.D. 09:55:56 -0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_000C_01CDADDF.EF2E3EB0″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180

O malware efetua as seguintes operações num sistema operativo infetado:

  • Executa novos processos na memória
  • Destrói ficheiros do sistema
  • Modifica definições de segurança do Internet Explorer
  • Cria entrada no registo do sistema

A própria empresa UPS atualizou a sua página de combate a emails fraudulentos com este novo spam que está a circular por toda a web.

Fraude usa Envio de Fatura Eletrónica da EDP

por David Sopas em 26 de Março de 2012 em Artigos com 2 Comentários
Fraude usa Envio de Fatura Eletrónica da EDP

Foram vários os emails fraudulentos, que recebi hoje, que utilizam o tema da Fatura Eletrónica da empresa EDP.
A título de curiosidade, a proteção default anti-Spam das contas do Gmail e Hotmail foi ultrapassada, ou seja, considerou o email fidedigno. Sendo estes os maiores fornecedores de contas de email da actualidade, muito provavelmente a taxa de entrada nas caixas de correio dos utilizadores pode ter sido bastante elevada.

Quanto à analise do malware, descarregado ao clicar no link  (link esse modificado para visualmente ser semelhante a um ficheiro PDF e não um executável), é detectado no VT com uma taxa de sucesso de 13/43.

Submeti para análise nas seguintes sandboxes:

Tal como em casos semelhantes, este malware tem como objectivo roubar dados financeiros e passwords armazenadas no seu computador com sistemas operativos Windows. Se por algum motivo instalou este software malicioso, é altamente recomendando instalar software de remoção de malware, como por exemplo o Malwarebytes.

A utilização de filtros adequados na sua conta de email para combater este tipo de situações deve ser uma prioridade.

A EDP já lançou um comunicado oficial sobre estes emails.

← Mais antigos