08 Feb 2008
Como agir ao receber um golpe por e-mail
Depilador Philips Satinelle Ice Pink HP648...
CPU HP Compraq DX5150 512MB/2.0GHz/80GB/DV...
Hoje recebi um e-mail de um amigo que queria alertar todo mundo sobre um golpe que está circulando na Internet, de um falso e-mail supostamente vindo de um grande site de comércio eletrônico, anunciando uma conta de mais de dois mil reais que o destinatário teria de pagar.
Meu amigo estava muito preocupado, pois sequer havia erros de Português no e-mail, que mantinha todos os aspectos visuais referentes ao tal magazine, causando mesmo mal estar e preocupação nos “felizardos” que o receberam.
Crente que estaria fazendo o melhor ao avisar todos os amigos a não clicarem na tal mensagem, meu amigo retransmitiu a mesma mensagem para todos os seus contatos.
Contudo, será que esta é a melhor opção, ou a coisa mais sensata a se fazer?
No lugar de meu amigo eu teria feito diferente. Talvez por eu próprio ser dono de uma empresa de hosting, não sei, mas o fato é que caso alguma conta de cliente meu fosse comprometida e usada para hospedar arquivos maliciosos (Malware: há mais sites comprometidos do que maliciosos) eu gostaria de ser comunicado para poder tomar as precauções devidas (excluir o arquivo e identificar a causa de ele estar lá, se por inépcia do cliente ou por falha de segurança em meu servidor).
Mas, como fazer isso?
Em primeiro lugar, é necessário identificar o arquivo malicioso e onde ele está hospedado. Isso é fácil de fazer observando os links que o e-mail pede que cliquemos. Veja a imagem abaixo.
Deve haver mais links no e-mail, mas numa rápida olhada identificamos pelo menos três. Para descobrir para onde os links estão levando, basta passar o mouse sem clicar sobre o link, e observar a barra de status do programa de e-mail, ou do navegador (caso esteja lendo num webmail). No nosso caso, o resultado é o seguinte.
Isso já seria suficiente para que qualquer pessoa com a cabeça no lugar não clicasse em nada desse e-mail: a mensagem atesta ser do Submarino, mas o link leva para um arquivo executável hospedado no domínio videosdiferentes.com.
Identificado onde está hospedado o arquivo malicioso, agora resta descobrir um jeito de entrar em contato com o responsável pelo site. A primeira coisa a fazer, claro, é entrar no site em gentilmente escrever um e-mail pela página de contato informando que no link tal está hospedado um arquivo suspeito recebido por um e-mail assim e assado, correto? Errado!
No caso específico, o site videosdiferentes.com parece não ser um domínio criado especificamente para espalhar vírus e ameaças digitais; mas se fosse, ao entrar no site o incauto visitante, com o peito estufado de boas intenções e desejo de melhorar o mundo, poderia era ter o seu computador crivado de porcarias iguais ou piores do que estas que ele deseja evitar para outras pessoas.
Então, a melhor coisa a fazer é descobrir quem é o responsável pelo domínio em questão, para poder contactá-lo.
Há muitos meios de obter informações sobre domínios, mas os meus favoritos são o registro.br (para domínios brasileiros, com a terminação .br) e o WHOIS-SEARCH.com, para consultar domínios em geral.
Ao fazer uma pesquisa pelo domínio que hospeda o arquivo malicioso em questão descobrimos informações interessantes a respeito do responsável (que vou manter abertas aqui porque são informações públicas, disponíveis para qualquer um que saiba fazer uma consulta dessas).
Primeiro, obtemos as informações a respeito do dono do domínio, inclusive o seu e-mail. Já daria para escrever para ele, encaminhando a mensagem recebida, e orientando-o que apagasse o arquivo problemático. Talvez fosse suficiente, talvez não. Talvez o programa de e-mail dele apagasse automaticamente nossa mensagem. Enfim, não teríamos como saber.
Contudo, pela informação dos Name Servers responsáveis pelo funcionamento do domínio descobrimos que quem o hospeda é o IG Empresas, e é com estes que devemos entrar em contato para comunicar o domínio infectado, e solicitar providências.
Existe uma norma (RFC — só para informar, mas não vou entrar em detalhes) que determina que todos os domínios devem dispor de um endereço de e-mail chamado abuse, que será o responsável por receber denúncias e reclamações de utilização inadequada dos recursos sob responsabilidade do domínio. Nem todos os domínios têm tal caixa postal, e muitos têm mas não a lêem. Não importa.
Destarte, bastaria enviar o e-mail com a denúncia para abuse@igempresas.com que ela chegaria ao técnico responsável, certo? Certo. Mas como nem sempre os responsáveis pelos domínios lêem a caixa abuse, pode ser uma boa idéia entrar no site do provedor de hospedagem e contactar por lá, ou então enviar uma cópia do e-mail para outras caixas postais mais propensas a existir e funcionar, como suporte e webmaster.
Esse é o procedimento mais adequado e que se fosse seguido por todos os que recebem e-mails com golpes obrigaria os administradores dos servidores a serem mais competentes e eficientes, diminuindo a ação destes cafajestes que abusam da boa fé das pessoas para roubá-las.
Como bônus, fora do escopo desse texto: o executável que serviu de inspiração para esse texto passou ileso pelo meu antivírus, que não o reconheceu como uma ameaça. Uma razão a mais para solicitar a remoção diretamente ao servidor de hospedagem.
Textos possivelmente relacionados a este
Já eu prefiro o IP Address Location. Apesar do nome ser complicado, é bem simples de usar.
Mas, mudando um pouco de assunto; você conseguiu remover o vírus?
[Reply]
Luiz.
Não havia o que remover, porque eu não executei o arquivo, apenas analisei-o.
Depois de tudo isso, se eu tivesse clicado no bicho seria muita mancada minha, né?
[Reply]
Eu clico no link do arquivo malicioso só para ver se retorna uma página de erro 404. Mas é claro que eu não salvo e nem executo o danado, né?
[Reply]
[...] na “proteção do copyright” - BrPoint Gerenciando feeds com Netvibes - Realidade Subjetiva Como agir ao receber um golpe por e-mail - O Blogue do [...]