Hoje recebi um e-mail de um amigo que queria alertar todo mundo sobre um golpe que está circulando na Internet, de um falso e-mail supostamente vindo de um grande site de comércio eletrônico, anunciando uma conta de mais de dois mil reais que o destinatário teria de pagar.
Meu amigo estava muito preocupado, pois sequer havia erros de Português no e-mail, que mantinha todos os aspectos visuais referentes ao tal magazine, causando mesmo mal estar e preocupação nos “felizardos” que o receberam.
Crente que estaria fazendo o melhor ao avisar todos os amigos a não clicarem na tal mensagem, meu amigo retransmitiu a mesma mensagem para todos os seus contatos.
Contudo, será que esta é a melhor opção, ou a coisa mais sensata a se fazer?
No lugar de meu amigo eu teria feito diferente. Talvez por eu próprio ser dono de uma empresa de hosting, não sei, mas o fato é que caso alguma conta de cliente meu fosse comprometida e usada para hospedar arquivos maliciosos (Malware: há mais sites comprometidos do que maliciosos) eu gostaria de ser comunicado para poder tomar as precauções devidas (excluir o arquivo e identificar a causa de ele estar lá, se por inépcia do cliente ou por falha de segurança em meu servidor).
Mas, como fazer isso?
Em primeiro lugar, é necessário identificar o arquivo malicioso e onde ele está hospedado. Isso é fácil de fazer observando os links que o e-mail pede que cliquemos. Veja a imagem abaixo.
Deve haver mais links no e-mail, mas numa rápida olhada identificamos pelo menos três. Para descobrir para onde os links estão levando, basta passar o mouse sem clicar sobre o link, e observar a barra de status do programa de e-mail, ou do navegador (caso esteja lendo num webmail). No nosso caso, o resultado é o seguinte.
Isso já seria suficiente para que qualquer pessoa com a cabeça no lugar não clicasse em nada desse e-mail: a mensagem atesta ser do Submarino, mas o link leva para um arquivo executável hospedado no domínio videosdiferentes.com.
Identificado onde está hospedado o arquivo malicioso, agora resta descobrir um jeito de entrar em contato com o responsável pelo site. A primeira coisa a fazer, claro, é entrar no site em gentilmente escrever um e-mail pela página de contato informando que no link tal está hospedado um arquivo suspeito recebido por um e-mail assim e assado, correto? Errado!
No caso específico, o site videosdiferentes.com parece não ser um domínio criado especificamente para espalhar vírus e ameaças digitais; mas se fosse, ao entrar no site o incauto visitante, com o peito estufado de boas intenções e desejo de melhorar o mundo, poderia era ter o seu computador crivado de porcarias iguais ou piores do que estas que ele deseja evitar para outras pessoas.
Então, a melhor coisa a fazer é descobrir quem é o responsável pelo domínio em questão, para poder contactá-lo.
Há muitos meios de obter informações sobre domínios, mas os meus favoritos são o registro.br (para domínios brasileiros, com a terminação .br) e o WHOIS-SEARCH.com, para consultar domínios em geral.
Ao fazer uma pesquisa pelo domínio que hospeda o arquivo malicioso em questão descobrimos informações interessantes a respeito do responsável (que vou manter abertas aqui porque são informações públicas, disponíveis para qualquer um que saiba fazer uma consulta dessas).
Primeiro, obtemos as informações a respeito do dono do domínio, inclusive o seu e-mail. Já daria para escrever para ele, encaminhando a mensagem recebida, e orientando-o que apagasse o arquivo problemático. Talvez fosse suficiente, talvez não. Talvez o programa de e-mail dele apagasse automaticamente nossa mensagem. Enfim, não teríamos como saber.
Contudo, pela informação dos Name Servers responsáveis pelo funcionamento do domínio descobrimos que quem o hospeda é o IG Empresas, e é com estes que devemos entrar em contato para comunicar o domínio infectado, e solicitar providências.
Existe uma norma (RFC — só para informar, mas não vou entrar em detalhes) que determina que todos os domínios devem dispor de um endereço de e-mail chamado abuse, que será o responsável por receber denúncias e reclamações de utilização inadequada dos recursos sob responsabilidade do domínio. Nem todos os domínios têm tal caixa postal, e muitos têm mas não a lêem. Não importa.
Destarte, bastaria enviar o e-mail com a denúncia para abuse@igempresas.com que ela chegaria ao técnico responsável, certo? Certo. Mas como nem sempre os responsáveis pelos domínios lêem a caixa abuse, pode ser uma boa idéia entrar no site do provedor de hospedagem e contactar por lá, ou então enviar uma cópia do e-mail para outras caixas postais mais propensas a existir e funcionar, como suporte e webmaster.
Esse é o procedimento mais adequado e que se fosse seguido por todos os que recebem e-mails com golpes obrigaria os administradores dos servidores a serem mais competentes e eficientes, diminuindo a ação destes cafajestes que abusam da boa fé das pessoas para roubá-las.
Como bônus, fora do escopo desse texto: o executável que serviu de inspiração para esse texto passou ileso pelo meu antivírus, que não o reconheceu como uma ameaça. Uma razão a mais para solicitar a remoção diretamente ao servidor de hospedagem.
Já eu prefiro o IP Address Location. Apesar do nome ser complicado, é bem simples de usar.
Mas, mudando um pouco de assunto; você conseguiu remover o vírus?
Luiz.
Não havia o que remover, porque eu não executei o arquivo, apenas analisei-o.
Depois de tudo isso, se eu tivesse clicado no bicho seria muita mancada minha, né?
Eu clico no link do arquivo malicioso só para ver se retorna uma página de erro 404. Mas é claro que eu não salvo e nem executo o danado, né?
[...] na “proteção do copyright” – BrPoint Gerenciando feeds com Netvibes – Realidade Subjetiva Como agir ao receber um golpe por e-mail – O Blogue do [...]
[...] do copyright” – BrPoint Gerenciando feeds com Netvibes – Realidade Subjetiva Como agir ao receber um golpe por e-mail – O Blogue do [...]