Todos os posts tagados spam

Brasil tem cursos para criminosos online

A Trend Micro divulgou recentemente um estudo muito interessante sobre o crime online no Brasil. O autor deste estudo, o brasileiro Fernando Mercês, informa que o Brasil tem cursos de formação para utilizadores maliciosos aprenderem a lançar ataques de phishing e outros tipos de fraudes online. O preço deste tipo de formação, varia entre R$ 120 e R$1500 (~37€ e ~465€).

No relatório, é possível ver que os formadores disponibilizam mesmo as ferramentas necessárias para que até os mais novatos possam lançar ataques aos utilizadores mais desatentos. Estas ferramentas, vão desde software de envio de Spam por SMS (~153€) até geradores de cliques e gostos em redes sociais (a partir de ~6€). O importante aqui é salientar a disponibilização de um variado leque de opções para utilizadores maliciosos novatos que poderão lançar ataques devastadores.

Tenta em conta que grande parte dos ataques de phishing em Portugal são realizados com origem no Brasil, é importante salientar a importância deste relatório da Trend Micro para o nosso país.

Pharma Hack em Portugal

online_pharma_portugal

Pharma Hack é um termo associado por especialistas de segurança informática para definir um tipo de ataque muito ligado ao blackhat SEO.
O objetivo do Pharma Hack é efetuar vendas de produtos farmacêuticos (Viagra, Cialis, Zoloft, etc) utilizando sites comprometidos para promover a loja ilegal em resultados no Google. Quanto mais referências houver, mais sobe no rank do Google. Quantos mais sites comprometidos com a referência a esse site, mais este sobe no ranking do Google aumentando a possibilidade de ser encontrado nos motores de busca e por sua vez efetuar mais vendas.

Para quem desconhece, este tipo de atividade criminosa online é muito frequente. Os utilizadores maliciosos comprometem um site e apresentam páginas de venda de fármacos online – geralmente programas de afiliados ligados a redes criminosas de larga escala. É um negócio que atrai muitos utilizadores que têm dificuldades em adquirir produtos farmacêuticos e que preferem correr o risco de comprar algo que pode não ser realmente o que pensam que é.

Estas farmácias online, são geralmente promovidas por diversas vias:

  • Por envio massivo de SPAM (cerca de 250 mil milhões de mensagens por dia – o que equivale a 40% do spam mundial)
  • Por comprometer sites e criar reencaminhamentos
  • Por utilizar spamdexing, onde os utilizadores comprometem um site popular e criam links e palavras referentes ao site malicioso (casos semelhantes já foram divulgados pelo WebSegura.net, como foi no passado nos sites do Governo Civil de Coimbra  e no Taguspark)

viagra_email

Em Portugal, numa breve pesquisa no motor de busca Google, é possível reparar na quantidade de sites comprometidos com reencaminhamentos para farmácias ilegais. Nos sites comprometidos é possível encontrar câmaras municipais, sites de universidades, associações, pequenas empresas e sites pessoais.
Muitas das entidades provavelmente nem sequer sabem que estão alojar este tipo de atividade, muito devido ao low-profile destes ataques.
Já encontrei situações em que o reencaminhamento para o site da farmácia era só válido se o tráfego de referência fosse um motor de busca. Ou seja, se um utilizador entrasse diretamente no site afetado não iria ver o ataque.
Por vezes também é possível verificar um controlo por geo-localização em que apenas são permitidos visitantes estrangeiros. Isto é efetuado com limites aplicados à gama de IP nacionais no ficheiro .htaccess. Apenas os visitantes fora dessa gama é poderiam ver o ataque/reencaminhamento.

google_pharma_hack_portugal

Alguns exemplos destes sites de Pharma Hack atualmente presentes em sites comprometidos portugueses:

medshop24.net
canadian-overnite.com
canadian-pharmacy-24.com
canadapharmacy24h.com
hqpills.net
awc-drugstore.com

De referir que muitos destes sites, entre os quais indicados acima, distribuem malware. Mais propriamente supostas atualizações de Flash e payloads Java que incluem software malicioso. Por isso, não devem visitar os websites.

De salientar a referência ao Canadá em alguns domínios. Este país é conhecido pela liberalização na comercialização de determinados medicamentos, que juntamente com preços atrativos, é a escolha perfeita de muitos utilizadores, principalmente oriundos dos EUA. Este país vizinho, onde os produtos farmacêuticos são caros e necessitam quase sempre de prescrição médica, é um dos principais clientes deste tipo de negócios.
Os utilizadores maliciosos sabendo disto, utilizam o nome do Canadá para dar alguma credibilidade ao negócio. No entanto, maioria destes medicamentos são oriundos de países como China, Índia e Paquistão. De referir que estes fármacos, muito provavelmente, não têm qualquer controlo de qualidade e higiene. Existem mesmo relatos de medicamentos comprados nestas lojas online que continham elementos prejudiciais à saúde. Desde vestígios de pó-talco, giz, gasolina, cola, etc…

Dos sites portugueses afetados, é possível observar que muitos são sites Joomla!, WordPress  e outros CMS que provavelmente estão desatualizados e alegadamente vulneráveis a intrusões.

O seu site foi comprometido com Pharma Hack?

Ficam aqui algumas dicas, baseadas na minha experiência, para uma possível deteção deste problema:

  • Verificar alterações no código-fonte e/ou a existência de novos ficheiros
  • Verificar os DNS do domínio
  • Estar atento ao .htaccess e os php.ini
  • Em caso de CMS, verificar plugins modificados (em Portugal reparei diversos plugins modificados para integrar os reencaminhamentos para os sites maliciosos)

codigo_frame_pharmacy

No entanto, recomendo sempre o recurso a um profissional da área.

Contatei o Infarmed para obter algumas informações adicionais mas até à data do artigo não obtive quaisquer declarações:

Quais os riscos de saúde para um cidadão que compre medicamentos em lojas ilegais de venda de produtos farmacêuticos?

Informamos que em Portugal, só as farmácias e os locais de venda de medicamentos não sujeitos a receita médica que estejam registados no Infarmed, podem aceitar encomendas de medicamentos através da internet, de forma segura, nomeadamente por se garantir que a dispensa dos medicamentos é feita pelos profissionais habilitados, que o transporte dos medicamentos é feito em condições controladas e que, no ato da entrega, são prestadas as informações necessárias à toma do medicamento.

Mais informamos que o Infarmed não autoriza a importação de medicamentos para uso pessoal, devido a não existir suporte legal e aos possíveis riscos para a saúde dos consumidores, por não estarem garantidas as condições de segurança, qualidade e eficácia exigíveis para um medicamento, quer durante o processo de aquisição, quer durante o próprio transporte.

Assim, os consumidores só podem adquirir medicamentos nas farmácias (comunitárias e hospitalares) e nos locais de venda de medicamentos não sujeitos a receita médica (MNSRM).

O Infarmed tem algum departamento que pesquisa e analisa este tipo de atividade online?

Informamos que a Direção de Inspeção e Licenciamentos deste Instituto, analisa este tipo de atividade online e atua de acordo com as suas competências.

Queria concluir que não encontrei estas lojas ilegais em língua portuguesa. Apenas em inglês, espanhol, alemão, francês e italiano. No entanto, conforme demonstrado neste artigo, Portugal está a servir de catalisador para este tipo de atividade ilícita. É necessário estar atento.

Morte do Robin Williams serve de isco para vírus

Morte do actor Robin Williams serve de isco para vírus

Diversas campanhas de spam estão a circular com a mensagem de poder ver um vídeo do Robin Williams com as últimas palavras do actor/comediante.
É uma prova que os utilizadores maliciosos acompanham as últimas tendências (muitos com sistemas automáticos de leitura do Google Trends) para propagar malware e atingir os seus objectivos.

No email que tive acesso, é possível ver uma imagem do Robin Williams juntamente com o assunto:

Robin Williams Dies, See His Last Words On Video

O email inclui um link (codificado em hexadecimal quando passamos com o cursor do rato) para um site malicioso com um payload para descarregar uma actualização do Flash Player (malware).

Se por acaso recebeu este email e instalou este malware, deverá removê-lo rapidamente utilizando o seu antivirus.

Email rouba dados de acesso

Email rouba dados de acesso

Recebi no meu email, e posteriormente mais quatro amostras, uma mensagem de um contacto real que referia que não estava a conseguir enviar-me um documento urgente por email. Para facilitar, colocou o ficheiro no Google Docs (agora Google Drive) e informava que era só necessário entrar com os dados de acesso do email para visualizar o suposto documento. Segue uma cópia integral do corpo deste email com o assunto DOCUMENTS UPLOADED:

hello,

I have been trying to send you this urgent document but was unsuccessful with attaching them to my email, maybe something with the network. I managed to upload them via Googledocs .Please https://file.google.com/ to log in with your email for secure access.

Thanks,

Basicamente, todos os remetentes desta mensagem viram a sua conta comprometida e todos os seus contactos irão receber um email desta natureza.

Este email, como veio de um contacto da agenda, entrou sem ser detectado como SPAM, aumentando assim consideravelmente o número de aberturas deste email de phishing.

Se o utilizador clicar no link que acompanha este email, irá entrar num site (provavelmente comprometido) que apresenta uma janela para entrar com os dados de acesso do Gmail, Yahoo, Hotmail ou Aol. Após o clique num destes serviços de email, o utilizador é apresentado com um formulário que requisita o respectivo email e password. Estes ultimos dados, se preenchidos, irão ser enviados para o endereço de email do utilizador malicioso.
Não existe qualquer tipo de validação da página. É apenas código Javascript que apresenta sempre a mesma sequência de mensagens:

splashmessage[0]=’VERIFYING LOGIN’
splashmessage[1]=’LOGIN ACCEPTED’
splashmessage[2]=’PROCESSING DOC’
splashmessage[3]=’…FINALIZING DOCUMENT VIEW…’
splashmessage[4]=’SERVER TOO BUSY !!!’
splashmessage[5]=’ERROR PROCESSING FILES !!!’
splashmessage[6]=’PLEASE WAIT’
splashmessage[7]=’OPENING DATA FAILED’

Após estas mensagens, o utilizador é encaminhado para o endereço: https://docs.google.com/templates?sort=rating&view=public (caso esteja autenticado no Google).

Até à data deste artigo, o link de phishing que acompanha este email não é detectado pelo VirusTotal, nem pelos antivirus online. No entanto já denuncei o link como malicioso. É uma questão de tempo para começar a ser bloqueado.

Em certos casos, foi-me relatado por um utilizador afectado, a conta do Gmail tinha o idioma em chinês e com um redirecionamento para uma conta de email parecida com a conta afectada.
As mensagens de email e contactos foram eliminados. Este ataque está afectar muitos portugueses. Convém ter atenção a este email fraudulento.

Se enviou os seus dados de acesso, deverá mudar imediatamente a sua password e verificar a informação que tinha armazenada no seu email pois poderá ter sido descarregada pelo utilizador malicioso.

Esquemas fraudulentos em ptempregos.com e scandicredit.pt

Esquemas fraudulentos em ptempregos.com e scandicredit.pt

Recentemente deparei-me com dois sites que prometem as melhores soluções para os portugueses desempregados. Uma salário cativante, bons prémios de trabalho, trabalho em casa, etc… Após uma breve análise, cheguei à conclusão que ambos são esquemas fraudulentos.

ptempregos.com
Este recém-criado portal de empregos (registado dia 12 de Fevereiro) está a enviar SPAM com anúncios de emprego fraudulentos.
Digo isto baseado na minha experiência com outros emails de oportunidades de trabalho e do próprio portal em si que é bastante duvidoso.

O registo de domínio foi criado no dia 12 de Fevereiro deste ano no site – bizcn.com (site de registo de domínios chinês) e está apontar para servidores DNS do serviço gratuito DNSEver.com (este muito usado para alojar sites com malware e de phishing).

O portal ptempregos.com foi criado com o CMS Joomla e apresenta textos em português europeu, português do Brasil e alguns termos em espanhol. As propostas existentes no portal são retirados de outros sites e obriga o registo do utilizador para obter mais informações. Após o registo, não existe página de utilizador (página inexistente). Ou seja, captura toda a informação do registo e depois o utilizador não pode fazer mais nada.

Em relação aos emails enviados pelo portal, os mesmos são enviados por um servidor de envio russo – elaiko.ru com o remetente info@ptempregos.com.
O assunto do email é chamativo – Magnifica vaga de emprego para Portugal. aproveitando-se da maré de desemprego que ocorre no nosso país.
Embora o corpo da mensagem venha em português, no código fonte da mensagem podemos ver um título em espanhol – Trabajos Ahora.
Na amostra que recebi, o conteúdo do email promete um emprego de coordenador financeiro com salário de 1500 Euros/mês para trabalhar em casa.
O servidor de envio dos emails de registos é vserver111.axc.nl e os servidores de envio de email não têm DKIM nem o SPF activo.

scandicredit.pt
Este site, tomei conhecimento quando recebi o seguinte email:

Caro Candidato
Obrigado por seu interesse na vaga da nossa empresa, Scandicredit . Temos o prazer de recebê-lo como um candidato para a nossa oferta de emprego em Portugal. Somos um novo grupo de investimento com vários anos de trabalho na Europa e com grandes perspectivas no mercado de mini- empréstimos em Portugal. Nosso objetivo é conseguir a promoção a longo prazo de nossos negócios, nossos clientes a satisfazer todas as suas expectativas, que são devidamente tratados e estão satisfeitos com os nossos serviços.
Atualmente continuamos nossa expansão em Portugal e para isso precisamos de aumentar a nossa equipe para promover a nossa empresa e atender às necessidades de nossos clientes em Espanha e no resto da Europa .
Aqui o link para o site da nossa empresa:

http://scandicredit.pt/

Nós valorizamos nossos recursos humanos , porque sabemos que nossa vitalidade e sucesso da empresa é baseado em cada um de nossos funcionários. Em Portugal temos 20 vagas gerente financeiro, destes alguns serão selecionados para representantes regionais e alguns como representantes nacionais nas próximas fases do nosso projecto e, uma vez completada essa primeira fase, vamos abrir vários centros de atenção ao público em Portugal .
Portanto, estamos à procura de pessoas com altas expectativas e vontade de trabalhar.
O trabalho a ser realizado pelos novos agentes financeiros durante as primeiras semanas de trabalho serão : gerenciar as transferências a efectuar para as suas contas e , em seguida, enviá-los para os clientes que precisam dos mini empréstimos. Irá trabalhar desta maneira durante a fase inicial da empresa em Portugal , no final da primeira fase , os novos métodos será implementada . O objetivo é que nossos clientes recebam o empréstimo o mais rápido possível e é por isso que precisamos da ajuda dos nossos agentes financeiros.
O salário fixo mensal é de € 1300 , e também recebe uma comissão percentual de 2% de cada transação.
Durante o período experimental, a maioria das operações ocorrem no período da manhã .Para iniciar o trabalho, você deve aceitar o contrato on-line, que é o primeiro passo para iniciar as relações de trabalho com a nossa empresa , após a primeira semana de trabalho , recebe o contrato em casa através de uma empresa de transporte
.Nossa empresa garante a segurança e transparência nas relações comerciais com os nossos clientes, um quadro ideal para o crescimento , além de um excelente ambiente de trabalho e trabalho em equipe .Aos nossos funcionários pedimos principalmente : responsabilidade e honestidade como estes que são os pilares do nosso sucesso empresarial.
Por enquanto esta é a informação que eu possa fornecer a você, se você estiver interessado na vaga, por favor responda a este e-mail e eu vou enviar o link para contrato onlnine para que você possa inserir seus dados e começar a trabalhar para nós.
As vagas são limitadas, a adição é imediatamente no caso de você estiver interessado.
Se você tiver alguma dúvida, não hesite em escrever-me, com prazer vou responder.

Primeiro, o Obrigado por seu interesse na vaga da nossa empresa é texto típico de SPAM.
De seguida, percebi que o cargo era para ser uma mula para transferências bancárias.
O dominio em si, registado na DNS.PT por um utilizador espanhol, aponta para o mesmo DNS gratuito do esquema fraudulento acima indicado – DNSEver.com. Também o scandicredit.pt foi criado na plataforma Joomla e as imagens foram roubadas do site Associação Nacional de Direito ao Créditomicrocredito.com.pt (alheio a esta situação).

É importante a divulgação destes esquemas fraudulentos para evitar a propagação dos mesmos.