Recebi no meu email, e posteriormente mais quatro amostras, uma mensagem de um contacto real que referia que não estava a conseguir enviar-me um documento urgente por email. Para facilitar, colocou o ficheiro no Google Docs (agora Google Drive) e informava que era só necessário entrar com os dados de acesso do email para visualizar o suposto documento. Segue uma cópia integral do corpo deste email com o assunto DOCUMENTS UPLOADED:
hello,
I have been trying to send you this urgent document but was unsuccessful with attaching them to my email, maybe something with the network. I managed to upload them via Googledocs .Please https://file.google.com/ to log in with your email for secure access.
Thanks,
Basicamente, todos os remetentes desta mensagem viram a sua conta comprometida e todos os seus contactos irão receber um email desta natureza.
Este email, como veio de um contacto da agenda, entrou sem ser detectado como SPAM, aumentando assim consideravelmente o número de aberturas deste email de phishing.
Se o utilizador clicar no link que acompanha este email, irá entrar num site (provavelmente comprometido) que apresenta uma janela para entrar com os dados de acesso do Gmail, Yahoo, Hotmail ou Aol. Após o clique num destes serviços de email, o utilizador é apresentado com um formulário que requisita o respectivo email e password. Estes ultimos dados, se preenchidos, irão ser enviados para o endereço de email do utilizador malicioso.
Não existe qualquer tipo de validação da página. É apenas código Javascript que apresenta sempre a mesma sequência de mensagens:
splashmessage[0]=’VERIFYING LOGIN’
splashmessage[1]=’LOGIN ACCEPTED’
splashmessage[2]=’PROCESSING DOC’
splashmessage[3]=’…FINALIZING DOCUMENT VIEW…’
splashmessage[4]=’SERVER TOO BUSY !!!’
splashmessage[5]=’ERROR PROCESSING FILES !!!’
splashmessage[6]=’PLEASE WAIT’
splashmessage[7]=’OPENING DATA FAILED’
Após estas mensagens, o utilizador é encaminhado para o endereço: https://docs.google.com/templates?sort=rating&view=public (caso esteja autenticado no Google).
Até à data deste artigo, o link de phishing que acompanha este email não é detectado pelo VirusTotal, nem pelos antivirus online. No entanto já denuncei o link como malicioso. É uma questão de tempo para começar a ser bloqueado.
Em certos casos, foi-me relatado por um utilizador afectado, a conta do Gmail tinha o idioma em chinês e com um redirecionamento para uma conta de email parecida com a conta afectada.
As mensagens de email e contactos foram eliminados. Este ataque está afectar muitos portugueses. Convém ter atenção a este email fraudulento.
Se enviou os seus dados de acesso, deverá mudar imediatamente a sua password e verificar a informação que tinha armazenada no seu email pois poderá ter sido descarregada pelo utilizador malicioso.
