Como um bom administrador de TI, odeio phishing spam. A idéia de criar um email falso, usando o nome de um site / loja / instituição conhecida, apenas para tentar espalhar um vírus ou um cavalo-de-tróia, é tão baixo que até mesmo o hacker mais sem-vergonha deve ter nojo desse tipo de gente. Não, não se trata de apenas aproveitar que salsinhas clicam sem ler. É má-fé, falsidade ideológica, escrotice elevado ao infinito.
Parece ser um pouco óbvio que esses arquivos infectados ficam hospedados em servidores pouco comuns, quase sempre na Rússia, em repositórios onde se torna difícil identificar o “dono” do arquivo, o que facilita e muito a ação desses criminosos.
Mas… e se alguém tivesse a brilhante idéia de hospedar um trojan para o phising spam em um servidor nacional, com domínio .com.br, facilmente rastreável? E…. o que aconteceria se esse phishing spam caísse JUSTAMENTE nas mãos de um administrador de TI curioso o suficiente para SEMPRE verificar como os phishers “ocultam” as URLs?
Simples, ele ia coletar todos os dados referente ao domínio, juntar provas, fazer as denúncias necessárias, e depois publicar sobre o assunto no blog, para que um grande número de pessoas (hmm…) pudesse ter acesso a essas informações.
Vamos aos fatos: vejam o screenshot abaixo, do email que recebi. Percebam que o email faz de tudo para parecer ser um comunicado oficial dos correios (os links da lateral apontam para o site correto). Mas, ao verificar o link do botão Visualizar, a surpresa (clique na imagem para ampliar):
Agora, me digam: porque diabos a ECT teria um arquivo, executável (.com), hospedado no domínio futebolimaginario.com.br? Só isso já seria estranho, mas… Blogueiros, olhem atentamente o endereço onde se encontram as imagens. Lembra alguma coisa? Tipo, a estrutura do Wordpress? Exato.
Entrando na minha sempre fiel distribuição Linux instalada numa imagem do VMWare, tentei acessar tanto os endereços www.futebolimaginario.com.br quanto www.futebolimaginario.com.br/blog (ATENÇÃO: fiz isso em um ambiente seguro. Não posso garantir que não existam códigos maliciosos nessas páginas). No segundo caso, me chamou atenção a falta de conteúdo. Mas nada de muito suspeito. Clicando diretamente no link do email (mais uma vez, num sistema virtual rodando LINUX) pude confirmar: o link levava a um executável.
OK, hora de descobrir um pouco sobre o domínio: segundo o whois do Registro.br, o domínio pertence ao “IBAC Instituto Brasileiro Arte e Cultura” e é hospedado na HostNet. Não vou republicar todas as informações, mas o que me chamou a atenção ali foi o ID Técnico, alterado recentemente, mais ou menos na mesma época em que o “blog” foi criado.
Não vou fazer uma acusação em falso, TALVEZ o site tenha sido invadido, e o invasor aproveitou para implantar ali um pequeno executável escondido. Mas, na dúvida, mandei alguns emails para os órgãos competentes (incluindo o próprio registro.br) com uma cópia da imagem acima, solicitando uma investigação. Pode até ser que não dê em nada, mas… na ínfima chance de alguém ser pêgo, eu já ficaria feliz. Um safado a menos agindo livremente na internet.
fevereiro 9th, 2008 at
Cara, parabéns pela iniciativa, mas eu não faço tudo isso não, simplesmente denuncio o fishing pro gmail, ele que faça a parte dele.
Abração
fevereiro 9th, 2008 at
Legal a atitude, mas infelizmente, acho mais provável que o site em questão tenha sido atacado mesmo.
Não é algo muito raro de acontecer nesses casos.
fevereiro 9th, 2008 at
Muito bom, já vi muito executável do tipo hospedado em site nacional… se o registro.br te der uma resposta não deixa de avisar, vai ser bom saber que entrar em contato com eles resolve alguma coisa.
Eu acredito que muito desses arquivos são plantados no servidor por funcionários mesmo, do tipo que usa site .gov pra hospedar site pessoal, lembra dessa história?
fevereiro 9th, 2008 at
Muito boa sua curiosidade, foi longe, e nestes casos o quanto mais procurar, mais porcaria vai achar. Deve ser algum funcionário vagabundo que não tem o que fazer, já foi jogado para um canto qualquer do prédio, última sala dos fundos, inútil ao extremo, desprezado…
fevereiro 9th, 2008 at
Ah, é o do telegrama! Também recebi esse, já tem um tempinho. Falta fazer a balela. Ei, você reparou que aquela gambiarra no Landing Sites para o Google Reader não funciona mais?
fevereiro 9th, 2008 at
Ué, testei aqui, e funcionou normal. Tão bem que não exibiu nem o anúncio padrão.
fevereiro 9th, 2008 at
Essa história de ‘telegrama por email’ não poderia ser nada mais, nada menos que PIADA…kkkkk
Já sei! O cara que inventou não conhece o email! Mas peralá, ele envia os telegramas por email…ops!
O duro é q tem uns ‘coitados’ que caem…
fevereiro 9th, 2008 at
Grave, pra mim apareceram os anúncios e aquele velho “você chegou aqui pelo http://www.google.com“.
Strozi, o email em questão é falso, mas o serviço de telegrama por email existe de verdade.
fevereiro 10th, 2008 at
Graveheart…
Aposto e ganho que foi servidor invadido…
Aposto que o cara foi tentar utilizar o wordpress, desencanou e achou que resolveria tudo retirando o index.php e o wp-config.php.
Por exemplo, o wp-config.php está lá.
Aposto um real que o cara achou que desinstalou e deixou o resto do wordpress lá. Esqueceu de atualizar e pronto… invadiram usando algum bug.
fevereiro 10th, 2008 at
Ops mais uma vez… Falha minha em não ‘googlar’ antes de postar o comment… Nunca imaginei que pudesse existir tal serviço, afinal email é email, telegrama é telegrama… hehe