Tema: Phishing

Possível falha na Ingresso.com expõe dados de usuários

Ontem recebi um e-mail daqueles bem suspeitos sobre eu ter ganho uma promoção qualquer da Ingresso.com na Copa do Mundo no Brasil. Claro que eu não concorri em nenhuma promoção do tipo e li o e-mail apenas como material de estudo. Acontece que o que eu vi, me deixou pra lá de curioso.

phishingO e-mail veio em nome da Ingresso.com, site em que eu tenho cadastro e já utilizei dos seus serviço há alguns anos. Sem muita firula visual, o e-mail apresentava como imagens apenas a marca do referido site e um logo antigo da Copa no Brasil, o que foi utilizado na candidatura do país para sediar os jogos. No entanto, isso não me chamou a atenção.

Apesar de exibir uma URL genérica (o que obviamente eu não iria clicar pra conferir), o e-mail também exibia a URL correta da Ingresso.com, dados de contato de quem enviou o e-mail e um texto relativamente fácil de acreditar. Mas o problema começou já no início da mensagem: ela continha dados pessoais verdadeiros e bem completos.

Nome, data de nascimento, RG, CPF, nome da minha mãe e meu endereço completo. Um endereço antigo, mas exatamente onde eu morava quando fiz o meu cadastro na Ingresso.com, o que me leva a acreditar que esses dados foram retirados realmente da base da Ingresso.com. Continue lendo “Possível falha na Ingresso.com expõe dados de usuários”

4 dicas para a sua segurança online

Uma pesquisa da Opiniões de Valor, feita no fim de 2009 para a VeriSign revelou que 73% dos internautas brasileiros não são capazes de identificar as formas de phishing. No Brasil as principais questões, por ordem de importância:

  • Erros ortográficos – 73% enganados.
  • Inexistência do símbolo do cadeado na barra de endereço do navegador – 54% enganados
  • Solicitação de informações adicionais sobre conta – 36% enganados
  • URL contendo um nome de domínio numérico e não-específico – 33% enganados

Para saber se um site é genuíno ou não, e se ele protege seus dados pessoais, preste atenção nestes itens:

Barra de HTTPS no Firefox

Barra de HTTPS no Firefox

1. https:// o “s” no https:// significa que o site é criptografado, portanto as informações inseridas no site estão seguras. Apesar de alguns sites de phishing possuírem um endereço de Web seguro, muitos não têm. Portanto, os visitantes do site devem estar atentos para a falta de segurança em sites que deveriam tê-la. A Webjet, por exemplo, não tem área de compras fechada, mas não é um site de phishing (embora exponha os dados de seus clientes na internet).

Cadeado de segurança no Internet Explorer

Cadeado de segurança no Internet Explorer

2. O ícone do cadeado: para ser verdadeiro, este ícone deve aparecer no navegador e não dentro do conteúdo da própria página.

3. Marcas de confiança: pistas visuais simples sob a forma de logotipos populares podem mostrar que um site é autenticado e seguro e que a empresa é respeitável.

4. Verifique o endereço: suspeite de qualquer site com um domínio desconhecido e que contenha o nome de um site conhecido na última parte do seu endereço Web.

Barra de HTTPS no Firefox

Barra de HTTPS no Firefox

5. Barra de endereços verde: isso significa que este site tem autenticação, de modo que você pode ter certeza que é o site que afirma ser.

Phishing Scam

Uma das facetas da Engenharia Social é simular uma interação real ao máximo, para poder enganar a possível vítima. Da corruptela do termo em inglês fishing, que significa “pescaria”, o golpe geralmente oferece uma “isca” para disfarçar, distrair a atenção da vítima que, quando percebe, já foi fisgada.

Existem diversos tipos de phishing scam, mas os mais conhecidos atualmente são os que simulam e-mails de banco e solicitam o download de algum dispositivo de “segurança” ou recadastramento de senhas, os golpes por SMS que oferecem “prêmios” por concursos inexistentes, foto-torpedo falso, as “fotos daquela festa” ou o “cartão virtual enviado por um admirador” e mais alguns outros.

Normalmente um phishing, principalmente os que são enviados por e-mail, escondem por trás o download de um malware, possivelmente um trojan horse.

Teste agora o Orkut Ouro

Inicialmente, o Orkut Ouro foi apenas uma brincadeira, criada pelo estudante de Engenharia da Computação Pedro Vanzella (19), em um momento de ócio criativo, para se divertir um pouco e se livrar do tédio. Ele colocou em seu perfil do Orkut um álbum de fotos com uma mensagem de bloqueio, informando que apenas veriam aquelas fotos os usuários que possuíssem uma conta “Ouro”.

Com o sucesso rápido da brincadeira, que foi montada durante a madrugada e no decorrer do dia já tinha se espalhado tanto no Orkut quanto no Twitter, Pedro publicou um post em seu blog e Twitter, e um amigo criou o site www.orkutouro.com.br (já removido). O que Pedro não imaginava era que as pessoas iriam acreditar na brincadeira. “Tudo era piada: o álbum no Orkut, a mensagem no blog, os tweets. Todo mundo que me segue no Twitter e estava passando adiante sabia que era piada.” afirmou Pedro, por telefone, ao repórter do site de notícias G1.

E realmente muita gente sabia que era uma piada, e colaborou para espalhá-la ainda mais. O problema é que algumas pessoas caíram na pegadinha e enviaram e-mails para o Pedro, com seus dados pessoais e senha do Orkut, tentando uma oportunidade de acessar a tal conta “Ouro”. Ficou descontrolado. O estudante pediu conselho a um advogado, que sugeriu um pedido público de desculpas e foi prontamente atendido. Toda a brincadeira que Pedro publicou também foi retirada do ar e, se a Google – detentora das marcas envolvidas – não resolver processá-lo por uso indevido de marca, vai terminar tudo bem. Ou não.

Onde mora o perigo

Nós bem sabemos que bandidos são oportunistas e não é muito difícil algum pilantra ter a “brilhante” ideia de pegar a brincadeira inofensiva do Pedro e enviar por e-mail, com um trojan em anexo, para enganar um monte de gente, roubar senhas e dinheiro de verdade de suas contas bancárias.

Alguns esclarecimentos são necessários para evitar cair em um golpe como esses:

  • Não existe o tal Orkut Ouro. Acredite, foi apenas uma brincadeira.
  • Quando a Google lança novidades, você fica sabendo diretamente do site. Exemplo: o novo Orkut, você ficou sabendo um dia dentro do Orkut, quando alguém te convidou ou apareceu um botão lá pra testar, certo? O Google Buzz, lançado há 2 dias, foi a mesma coisa, apareceu dentro do Gmail e pronto. Então, desconfie de e-mails te oferecendo novas features ou serviços, da Google ou qualquer outra empresa.
  • Nenhuma empresa vai pedir sua senha em um site estranho para você entrar ou testar um novo serviço. Fuja disso.
  • Se você receber um e-mail pedindo pra “baixar” o tal Orkut Ouro, caia fora, além de mentira é roubada – literalmente. Algum trojan banker maledeto vai te tirar tudo antes que você repita “antivírus”.

A tela falsa do Orkut Ouro

[bb.com.br] – DDA – Pessoa Juridica Banco do Brasil

Após as tentativas de golpe usando o nome do Bradesco, os pilantras digitais se aproveitam do lançamento do DDA (Débito Direto Autorizado) do Banco do Brasil. Apesar de ser um banco com maior abrangência, talvez esse não leve muita vantagem pelo simples fato de estar limitado às contas de empresas (pessoas jurídicas).

Apesar da diferença, o fato de oferecerem algo “simples e fácil”, bastando “instalar um módulo” e afinal de contas estar mais bem feito – graficamente falando – que o do Bradesco, merece menção e cuidados, pois incautos podem ser ludibriados por essa nova “vantagem” do Banco do Brasil e não prestar atenção nos seguintes pontos que denunciam a fraude:

  • O mais óbvio e principal item a ser observado é o próprio envio do e-mail. Os bancos não enviam e-mails oferecendo softwares para download, processos de recadastramento ou coisas sensíveis como essa. Esses procedimentos são feitos diretamente em suas agências ou em caixas eletrônicos, mediante apresentação de cartão, identificação, senha, etc.
  • Muita gente pode se tocar tarde demais que seu modelo de conta é pessoa física e não jurídica.
  • A informação de que o DDA é obrigatório é falsa. Uma simples consulta no Google com a pergunta “O DDA é obrigatório?” retorna diversos sites, alguns mais confiáveis que outros, com a resposta negativa. Qualquer dúvida pode ser sanada em sua agência bancária.
  • Os links apresentados direcionam para um domínio no exterior: aapj.bb.com.br.whyza.net/aapj/com/BB/sissBB/index.php?DDA.exe_Install. Note que o domínio presente no link é whysa.net, sem nenhuma relação com o BB. Ao clicar o site tenta baixar um arquivo chamado DDA.exe (arquivo executável para quem usa Windows), sem qualquer identificação do correntista.
  • O arquivo baixado foi identificado como um TROJAN pelo site VirusTotal, por 32% das ferramentas de identificação utilizadas. Provavelmente um trojan banker, do tipo que se instala em seu computador para roubar senhas de banco.

Mensagem original “DDA – Pessoa Juridica Banco do Brasil”

DDA Banco do Brasil BALELA

Mensagem texto “DDA – Pessoa Juridica Banco do Brasil”

De: [bb.com.br] <apoiocliente@bb.com.br>
Assunto: [bb.com.br] – DDA – Pessoa Juridica Banco do Brasil.
Data: 14 de novembro de 2009 18:35:47 BRST

Comunicado Pessoa Jurídica,

O Débito Direto Autorizado é um sistema que permite o recebimento em meio eletrônico de boletos de cobrança, atualmente emitidos em papel. A FEBRABAN  lançou essa sistemática no mercado e que passou a ser obrigatória.

Visando contribuir para que seus clientes se preparem para essa nova realidade, o Banco do Brasil lançou a apresentação eletrônica de seus boletos de cobrança registrada pessoa jurídica, que poderão ser visualizados nos canais de autoatendimento.

faça sua adesão ao DDA agora mesmo é simples é fácil é direto DDA Banco do Brasil.

Clique aqui e instale o módulo DDA Banco do Brasil.

Em caso de dúvidas, entre em contato com a Central de Apoio ao Cliente BB pelo email: apoioaocliente@bb.com.br

De segunda a sexta-feira das 7h00 às 20h00.

Copyright © 2009 Banco do Brasil S/A. Todos os direitos reservados.

Mensagem recebida por e-mail em 14/11/2009