Cuidado: novo golpe usa e-mail com @gov.br, pois ele não está registrado

Condividi su Whatsapp Condividi su Linkedin

É muita cara de pau. Os golpistas estão usando o e-mail com domínio @gov.br para se passar pelo governo federal, em tentativa de enganar brasileiros. A mensagem chega à vítima com um aviso sobre um suposto processo que tramita no Superior Tribunal de Justiça (STJ).  Mas a ação é um golpe de phishing sofisticado, e pode levar o usuário a baixar malware de acesso remoto.

No corpo da mensagem, constam duas fotos em miniatura do que parecem ser processos reais — com o brasão da República para dar um ar de legitimidade —, e o texto: “Remetemos, em anexo(sic), detalhes sobre seu processo juridico”.

Os erros de digitação e gramática já levam a entender que não se trata de uma mensagem oficial do STJ. Ao observar o endereço do remetente, também percebe-se que o nome da Corte está invertido: “tribunalsuperiordejustiça@gov.br”.

O golpista oferece dois arquivos para que o usuário ou baixe o processo ou visualize o documento para a impressão. Mas o resultado é o mesmo: uma infecção por um malware, um vírus de computador usado para controlar a máquina da vítima e roubar dados sensíveis.

O domínio @gov.br pode ser usado por qualquer pessoa

Mas como o governo federal permite que alguém use um endereço de remetente que pareça mesmo ser legítimo? Na verdade, o domínio “@gov.br” não foi registrado pela União como oficial. Isso significa que qualquer usuário comum, bem ou mal intencionado, pode criar uma conta com esse “nome” e usá-la. É importante ressaltar que isso vale apenas para e-mails, e não para o site com domínio gov.br.

“Simplesmente não há nada que impeça alguém de manipular o final do domínio @gov.br para tentar enganar usuários”, afirma Eduardo Schultze, que é líder de Threat Intelligence da consultoria de cibersegurança Axur.

No e-mail recebido por um usuário e enviado ao Tecnoblog, o G Suite, serviço da conta corporativa do Google, não impediu a mensagem maliciosa de chegar na caixa de entrada, dando a entender que aquela mensagem era legítima.

Para impedir mensagens suspeitas e spoofing — prática de falsificação de e-mail — o Google usa dois sistemas de autenticação de remetente: o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail). Cada e-mail enviado a um usuário do Gmail passa pelo processo de verificação feito por essas duas ferramentas.

Mas já houve casos em que uma falha no servidor de uma empresa foi explorada por usuários. Aconteceu com a Uber: um cliente da empresa alertou que qualquer um poderia explorar a brecha e criar um e-mail falso @uber.com para cobrar por corridas e enganar usuários.

Como os e-mails de spam e phishing são disparados para milhares de alvos simultaneamente, o Google também monta uma base de domínios suspeitos, se baseando nas leituras de mensagens feitas por DKIM, SPF e DMARC. Assim, o Gmail reúne todas essas informações para avisar o usuário do perigo.

Mas o e-mail com @gov.br não foi detectado imediatamente como uma mensagem suspeita — a plataforma coloca uma grande etiqueta vermelha quando isso ocorre. E esse aviso só foi colocado na mensagem cinco horas após o recebimento, no caso de um usuário.

O servidor usado pelo hacker é alugado

A mensagem partiu de um servidor privado da empresa Linode, conhecida por oferecer servidores de aluguel. Existe uma infraestrutura criada exclusivamente para fazer os ataques e infectar máquinas de usuários. De acordo com Eduardo Schultze, da Axur, o IP da Linode é apenas para mascarar um segundo IP, associado ao arquivo presente no e-mail isca.

O verdadeiro IP do atacante foi criado há pouco tempo, o que dificulta a detecção feita pelas ferramentas do Google. “Ele montou um servidor de e-mail, o configurou e usou para orquestrar os golpes. O usuário, ao baixar o arquivo, o baixa desse segundo IP. É até possível que o malware esteja dentro desse endereço”, explica Schultze.

A Linode ainda não confirmou se o hacker foi banido e teve o uso de seu servidor suspenso.

Ataque usa Trojan que controla dispositivo remotamente

Segundo a análise de Alisson Moretto, Malware Researcher na Axur, o malware que o e-mail transmite é um RAT (Remote Access Trojan).

Esse vírus é capaz de infectar o dispositivo da vítima e, a partir do download, controlá-lo remotamente. Segundo o catálogo de softwares maliciosos da Kaspersky, o RAT é classificado como extremamente perigoso porque permite ao hacker controlar a webcam, monitorar dados do teclado — ele decodifica o que você escreve —, e permite a instalação e desinstalação de programas.

Apenas algumas versões de sistemas operacionais são capazes de reconhecer o controle remoto do hacker. O Windows 10 avisa o usuário caso isso ocorra, mas o Windows 7, por exemplo, não reconhece o vírus.

“O phishing é um dos golpes mais utilizados na internet, que se vale de técnicas de engenharia social por diferentes meios e discursos. Esse tipo de golpe não afeta o usuário por meio de vulnerabilidades técnicas do sistema. Em vez disso, os usuários são persuadidos a realizarem ações de execução de códigos maliciosos para o fornecimento de informações pessoais.

O Serpro possui várias ferramentas de barragem de e-mails maliciosos, mas ainda não existe uma tecnologia com proteção integral para impedir o uso deste tipo de malware na internet. A cultura de segurança anti-spam entre os usuários é a chave principal para impedir esses ataques”. Diz Moretto

Fonte: tecnologia.ig

Condividi su Whatsapp Condividi su Linkedin
Nascida e criada em São Paulo, é publicitária formada pela Faculdade Cásper Líbero e Master em Programação Neurolinguística. Trabalha como redatora publicitária, redatora de conteúdo e tradutora de inglês e espanhol. Apaixonada por animais e viagens, morou no Canadá e no Uruguai, e não dispensa uma oportunidade de conhecer novos lugares e culturas.
Você está no Facebook?

Curta as mais belas fotos, dicas e notícias!

Você está no Pinterest?

As fotos mais bonitas sempre contigo!

Siga no Facebook
Siga no Pinterest