Todos os posts tagados spam

Sua conta Apple expira em menos de 48 horas

por David Sopas em 15 de Janeiro de 2014 em Artigos com 0 comentários Tweet
Sua conta Apple expira em menos de 48 horas

Um email de phishing anda a circular em massa pelos emails dos portugueses. Objectivo? Tentar obter dados confidenciais de quem tem conta Apple ID.
O email, com remetente forjado [email protected], falha em muitos testes anti-SPAM mas ainda consegue “fazer mossa” aos mais desatentos.

Um desses testes de anti-SPAM é a validação do SPF (Sender Policy Framework) que não é validado (como é óbvio):

Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 93.90.22.67 as permitted sender) client-ip=93.90.22.67;
Authentication-Results: mx.google.com;spf=softfail (google.com: domain of transitioning [email protected] does not designate 93.90.22.67 as permitted sender) [email protected];dmarc=fail (p=NONE dis=NONE) header.from=apple.com

O endereço IP tem origem em Espanha (http://www.ip-adress.com/ip_tracer/93.90.22.67) e, o próprio endereço no qual a vítima é reencaminhada, também tem algumas referências em língua espanhola.

O link que acompanha o email fraudulento, e que posteriormente encaminha para a página de phishing, não é bloqueado por nenhum antivírus comum (apenas pelo WebSense).

iforgot-idapple-login-pt.slyip.net/Carregando-de-verificacao/ reencaminha para iforgot-idapple.com/.aplication.store.pt/store/cuenta/verificacao/3D/
ccfacf3e5f5481c25cda61dd731bbece/4f4fd9b2e3be5fd1fbe103d7b108d0e27cf5b7eee81860992d1b36d4/
default.html?key=4f4fd9b2e3be5fd1fbe103d7b108d0e27cf5b7eee81860992d1b36d48ad8e045f&language=IT-IT

apple_phishing2

De referir a utilização do serviço de DNS dinâmico gratuito DtDNS para a atribuição de um hostname, neste caso iforgot-idapple-login-pt.slyip.net

O domínio iforgot-idapple.com foi registado no site nominalia.com em 9 de Janeiro de 2014 e está registado num nome italiano mas com origem nos nuetros hermanos.

O endereço de phishing, à imagem do site português da Apple, requisita diversos dados à vitima. Entre os quais os dados do cartão de crédito, informações pessoais e a password do email (isto é o que chamo ir directo ao assunto). Após o preenchimento destes campos, toda a informação é encaminhada para o utilizador malicioso e posteriormente utilizada para roubo de informação confidencial e financeira.

De referir que o código fonte do site de phishing está ofuscado mas podem consultar o código aqui - http://pastebin.com/HqjmLNKe.

Se por acaso preencheu os dados do site de phishing que acompanha este email fraudulento, deverá contactar rapidamente a entidade bancária do seu cartão de crédito e trocar a sua password de email (ou outras contas associadas com esta password).

Seoanalyses.com nas estatisticas

por David Sopas em 2 de Novembro de 2013 em Artigos com 0 comentários Tweet
Seoanalyses.com nas estatisticas

Quem monitoriza as estatísticas dos websites certamente já reparou que, recentemente, o site seoanalyses.com (geralmente com 10 visitas) no tráfego de sites de referência tem aparecido diversas vezes.
Este site faz o encaminhamento para ourmeets.com, que apenas está bloqueado pelo Yandex.
NOTA: Não aconselho a abertura deste website porque conta com conteúdos pornográficos e embora não seja detectado qualquer conteúdo malicioso (relatório no VT e Sucuri) poderá a vir a ter no futuro.
Numa amostra que recolhi de 30 websites portugueses, analisados no Google Analytics, 70% apresenta a presença do seoanalyses.com nas estatísticas.

Alguns dados do domínio seoanalyses.com:

Registration Service Provided By: DOMAINCONTEXT INC.
Domain Name: SEOANALYSES.COM
Registration Date: 01-Oct-2013
Expiration Date: 01-Oct-2014
Status:LOCKED
Name Servers:
ns1.regway.com
ns2.regway.com

Alguns dados do domínio ourmeets.com:

Registration Service Provided By: DOMAINCONTEXT INC.
Domain Name: OURMEETS.COM
Registration Date: 20-Jan-2013
Expiration Date: 20-Jan-2014
Status:LOCKED
Name Servers:
ns1.regway.com
ns2.regway.com

De referir que no mesmo alojamento do ourmeets.com encontram-se diversos websites de conteúdo pornográfico e com malware.

It appears that the web server located at 38.72.77.25 may be hosting one or more web sites with explicit content. There is a possibility that all of the web sites on this web server may be blocked by web filtering software. Search engine rankings for these web sites may be affected as well.

Spam?
Este tipo de actividade intitula-se por Referer Spam ou Referer Bombing. É um género de Spamdexing. Esta técnica é conseguida através de diversos acessos a um website utilizando um Referer falso que aponta para o website que o spammer quer publicitar.
Mas o que podem os spammers ganhar com isto?
Websites que publicitam os dados estatísticos, incluindo o tráfego de referência, vão fornecer publicidade gratuita ao website do spammer. Muitos desses links vão ser posteriormente acedidos pelos motores de busca quando fazem o crawl aos dados de acesso.
Este ataque beneficia o spammer devido à referência gratuita e fornece um aumento de ranking nos algoritmos que os motores de busca actuais utilizam.
Convém também referir que esta situação prejudica a taxa de bounce do Google Analytics.

Estas situações podem ser resolvidas pontualmente bloqueando no ficheiro .htaccess os endereços suspeitos.

Um novo esquema fraudulento de oferta de emprego

por David Sopas em 23 de Abril de 2013 em Artigos com 4 Comentários Tweet
Um novo esquema fraudulento de oferta de emprego

Ainda a receber ataques DDoS em relação ao artigo venho adicionar mais um esquema do género.
Tenho recebido imensos emails com este esquema fraudulento. Aparentemente os nomes e emails são gerados automaticamente e criados no outlook.com. Até à data deste artigo obtive os seguintes emails de remetente:

  • Arispe Nicolette ([email protected])
  • Arellano Terisa ([email protected])
  • Dearborn Lynette <[email protected]>

O assunto geralmente é o nome da pessoa (por exemplo: Santos António, Rita, Luís).

No corpo da mensagem tem o seguinte texto:

Boa tarde!
Nesta carta gostaria de apresentar a nossa empresa e o respetivo cargo que necessitamos.
Somos uma empresa de nova geração, forte, que desenvolve as suas fronteiras. Estamos atualmente à procura das pessoas de confiança para trabalhar numa equipa amigável com fortes especialistas ao lado.
A nossa empresa fornece uma ampla gama de produtos e serviços de alta tecnologia. Nossa Sociedade Gestora de Participações Social (SGPS) inclui muitas pequenas empresas, como também empresas gigantes como a Carrier Corporation, Pratt & Whitney, Otis, etc .Além disso, a empresa opera a organização central de pesquisa que busca a tecnologia para melhorar o desempenho e a eficiência energética.
Procuramos pessoas para cargo de investigador de mercado - Assistente de implementar, em todas as cidades em Portugal.

Perfil que procuramos :
- Sexo M/F
- Idade: 22-55
- Habilitações literárias mínima - 12º Ano
- Boa capacidade de comunicação
- Pró-ativo e com ambição
- Disponibilidade total e imediata
- Orientação para objetivos
- Capacidade de aprendizagem

Os Requisitos :
- Suporte de pequenas transações na região
- Controle de entrega do pedido ao cliente
- Controle de pagamento atempado
Pré-requisitos:
- Acesso à Internet,
- Conhecimentos de informática na óptica do utilizador (MS Office)
- Tempo livre das 9 até 15
- Sem convicção
- O direito ao emprego formal na sua região

Oferta:
- EUR 1.500 por mês + bónus pelos contratos
- 28 dias de férias anuais remuneradas (pode ser tomada depois de dois meses de trabalho)
- Free e-learning
- Formação especializada e contínua

Interessados é favor mandar o CV para e-mail.
Com os melhores cumprimentos,
Gerente de RH.

O email não fica por aqui relativamente ao conteúdo. Há texto oculto que pode ser visto apenas arrastando o cursor do rato.
De referir que é fácil perceber que não é uma proposta válida muito porque não existe qualquer referência à empresa contratante; texto com erros ortográficos e pouco cuidado; involve transações financeiras (provavelmente sendo intermediário em ações ilegais); entre outros aspetos.

É aconselhável a não enviar qualquer informação para o remetente e deve denunciar como mensagem Spam. A informação enviada poderá ser utilizada em futuros ataques, principalmente em roubo de identidade.
Divulgue!

Fraude UPS - Delivery problem # Error ID9287

por David Sopas em 19 de Outubro de 2012 em Artigos com 2 Comentários Tweet
Fraude UPS - Delivery problem # Error ID9287

Tenho recebido imensos emails deste género e cujo ficheiros malware apresentam um baixo rácio de deteção por parte dos antivirus.

O ficheiro compactado em zip é detetado apenas por 2 em 44 antivirus no VT e descompactado, o ficheiro Copy_of_UPS_Label.exe não é detetado por nenhum antivirus no VT. Algo fora de vulgar neste tipo de spam com conteúdo malicioso.
O mesmo ficheiro executável foi submetido por mim nas sandboxes públicas Malwr e Anubis.

O email em si, tem o seguinte cabeçalho:

Return-Path: [email protected]
Received: from upss.com (OSHWON95-2925431600.sdsl.bell.ca. [174.94.139.48])
by mx.google.com with SMTP id uh5si1598234vec.13.2012.10.19.06.55.56;
Fri, 19 Oct 2012 06:55:57 -0700 (PDT)
Received-SPF: neutral (google.com: 174.94.139.48 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=174.94.139.48;
Authentication-Results: mx.google.com; spf=neutral (google.com: 174.94.139.48 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]
Message-ID: [email protected]
From: “UPS Express” [email protected]
To: xxxxxx
Subject: Delivery problem # Error ID9287
Date: Fri, 19 Oct 2012 A.D. 09:55:56 -0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_000C_01CDADDF.EF2E3EB0″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180

O malware efetua as seguintes operações num sistema operativo infetado:

  • Executa novos processos na memória
  • Destrói ficheiros do sistema
  • Modifica definições de segurança do Internet Explorer
  • Cria entrada no registo do sistema

A própria empresa UPS atualizou a sua página de combate a emails fraudulentos com este novo spam que está a circular por toda a web.

Você foi marcado em nossos videos!

por David Sopas em 12 de Outubro de 2012 em Artigos com 3 Comentários Tweet
Você foi marcado em nossos videos!

Uma nova campanha de SPAM está a utilizar o Youtube para propagar malware.
O email, escrito em português, informa que o email do utilizador foi identificado num vídeo do Youtube.

Corpo do email:

Temos a satisfação de comunica-lo que seu email ([email protected]) foi marcado em um
dos videos mais acessados de nossa rede.

Um link presente no corpo do email, encaminha para uma página web comprometido que aloja conteudo malicioso, mais propriamente um ficheiro www_youtube_com.jar (detetado por maioria dos antívirus atualizados) que posteriormente descarrega um ficheiro executável - BeTray.exe (VirusTotal - Malwr) que torna o sistema operativo da vítima (apenas Microsoft Windows) vítima de C&C (Command and Control).

Clicou no link que acompanha este email?

Deve instalar ou correr um antivirus atualizado para remover qualquer conteúdo malicioso instalado.

Se por acaso necessitar de ajuda, comente este artigo ou contate-me.

← Mais antigos
Mais recentes →