• Um príncipe em NY
    Internet,  Segurança

    Sargento Mark Smith ou O golpe mais antigo da Internet (e pelo visto, imortal)

    Esses dias uma amiga minha me pediu ajuda para encontrar a origem de um número de telefone, do Sargento Mark Smith. Inicialmente eu apenas ajudei na tarefa e depois algo me despertou a perguntar do que se tratava, já que era um número internacional, vindo do continente africano. Fiquei curioso. Era o golpe do príncipe nigeriano, só que reciclado.

    A mãe dessa amiga, uma pessoa que não é tão ligada em coisas de Internet, bem low tech mesmo, havia recebido uma série de mensagens de um homem que se dizia apaixonado por ela, fez juras de amor, promessas de se verem em breve, etc. E ela interagiu, não chegou a se questionar as coisas que pessoas mais desconfiadas ou não tão ingênuas se questionariam. Ou seja, deu corda para o golpista.

    Montagem de passaporte
    A foto enviada do passaporte é uma montagem grosseira cuja original eu achei no Pinterest.

    O homem dizia se chamar Mark Smith (algo como José Silva no Brasil, um nome bastante comum), mandou foto com montagens toscas de passaporte e de um “cartão de identificação do US Army” (as Forças Armadas dos EUA) – nem precisava ser consultoria em design para ver que era falso. Dizia ser sargento do exército em atividade na Síria e fazendo os preparativos para “voltar para casa”. Aí é que vem o golpe.

    “Mark” diz que ele se seus colegas juntaram um dinheiro “por conta de suas boas ações” e que estão tentando enviar o dinheiro para seus países, mas por conta da guerra na Síria, tinham sérias restrições por conta de leis e regulamentações. A forma de lidar com isso seria enviar através de terceiros, e que seus colegas estariam fazendo isso através das esposas, porém, como ele não tem esposa, queria enviar o dinheiro para a mãe de minha amiga. Seriam US$ 800.000 – oitocentos mil dólares – enviados para uma pessoa que ele não conhece. Enviou foto da mala de dinheiro e dos “colegas” fazendo a partilha. Faz todo sentido, certo?

  • Token Dourado
    Segurança

    O golpe do token dourado

    Durante o dia de hoje, você provavelmente recebeu e apagou alguns e-mails fraudulentos que simulavam avisos vindos de diversos bancos, estou certo? Apesar de perigosos e de enganar muita gente todos os dias, esses e-mails são frágeis em um ponto importante: eles não apresentam seus dados pessoais, dessa forma, levantam a dúvida se realmente foi enviado por seu banco. Infelizmente esse não é o que me levou a escrever essa matéria hoje.

    Um novo golpe anda ocorrendo nas últimas semanas e o foco são os correntistas do Banco Itau. A mecânica, apurada com algumas vítimas, é bem similar e a execução é impressionantemente crível. O que é bastante perigoso pois muita gente provavelmente caiu nessa.

  • Internet,  Segurança

    Possível falha na Ingresso.com expõe dados de usuários

    phishing

    Ontem recebi um e-mail daqueles bem suspeitos sobre eu ter ganho uma promoção qualquer da Ingresso.com na Copa do Mundo no Brasil. Claro que eu não concorri em nenhuma promoção do tipo e li o e-mail apenas como material de estudo. Acontece que o que eu vi, me deixou pra lá de curioso.

    O e-mail veio em nome da Ingresso.com, site em que eu tenho cadastro e já utilizei dos seus serviço há alguns anos. Sem muita firula visual, o e-mail apresentava como imagens apenas a marca do referido site e um logo antigo da Copa no Brasil, o que foi utilizado na candidatura do país para sediar os jogos. No entanto, isso não me chamou a atenção.

    Apesar de exibir uma URL genérica (o que obviamente eu não iria clicar pra conferir), o e-mail também exibia a URL correta da Ingresso.com, dados de contato de quem enviou o e-mail e um texto relativamente fácil de acreditar. Mas o problema começou já no início da mensagem: ela continha dados pessoais verdadeiros e bem completos.

    Nome, data de nascimento, RG, CPF, nome da minha mãe e meu endereço completo. Um endereço antigo, mas exatamente onde eu morava quando fiz o meu cadastro na Ingresso.com, o que me leva a acreditar que esses dados foram retirados realmente da base da Ingresso.com.

  • The Million Dollar Homepage
    Internet,  Segurança

    Parceria caracu injeta código malicioso em seu blog

    Está rolando por aí uma cópia bem zoada de uma página que fez muito sucesso nos primórdios da Internet. A página original, chamada de The Million Dollar Homepage, vendia “pixels” por 1 dólar cada. Então você poderia comprar, digamos, um quadradinho de 10 x 10 pixel por 100 dólares e colocar a imagem e o link que você quisesse ali. O compromisso do criador era nunca tirar o site do ar (ele existe até hoje e já encontrou uma forma de ganhar ainda mais dinheiro, vendendo posters do próprio site).

    Na época isso foi um sucesso estrondoso, saiu em tudo que é site de notícia, revistas digitais, impressas, etc. Ao longo do tempo surgiram diversas cópias exatas, outras apenas parecidas. Alguns tinham a cara de pau de chamar de “a página de um milhão de reais” e afins. Cópias exatas do modelo do rapaz, que foi um sucesso e vendeu tudo em pouquíssimo tempo.

    Divulga Blog Site

    Agora surgiu uma cópia muito zoada do modelo, mas se utilizando de técnicas anti-éticas e perigosas para se auto-promover. O tal DivulgaBlogSite . com solicita a inserção de um script no site do “parceiro”, com a desculpa de trazer mais visitas, aumentar sua relevância no Google e etc, mas na verdade o script injeta uma janela invisível na qual carrega o próprio site Divulga Blog. Resumindo, ele usa uma técnica proibida pelo Google (e que pode fazer com que o SEU blog seja punido) para promover o próprio site.

    Como ele faz isso? Simples, ele fornece um código encriptado em JavaScript para o blogueiro inserir no seu blog. Esse código se transforma em um IFRAME de tamanho 0px com o endereço de uma página do site dele. A desculpa é carregar páginas de parceiros aleatórios, num esquema de “troca de links” bizarro, mas não é o que acontece. É auto-promoção descarada e passível de punição pelo Google mesmo.

    Muito cuidado com scripts externos

    Parcerias como essa surgem o tempo todo. Pessoas vivem acreditando que a famosa “troca de links” vai ajudar de alguma forma no Google, mas no máximo pode ajudar a divulgar seu blog aos leitores do outro blog. No máximo. O que você deve ter muito cuidado é ao inserir códigos de terceiros em seu blog.

    Um JavaScript malicioso bem programado pode fazer muito estrago em seu site. Ele pode injetar códigos em seu blog, fazer com que as visitas de um determinado referer (Google por exemplo) sejam redirecionadas para outro local, pode injetar cookies de afiliados para ganhar dinheiro, pode injetar links ruins que ele vendeu para clientes ruins, pode até mesmo fazer coisas piores como roubar sua sessão de navegador e ter acesso a seu admin do blog, além de outros serviços que você usa e que possam ser menos seguros.

    Lembre-se: um código javascript inserido por você em seu blog é o mesmo que dar uma procuração para o autor. Você não sabe com toda a certeza o que ele vai fazer no seu blog, então precisa mesmo confiar e até pesquisar na Internet antes de aplicar. Tem muitos sites por aí que oferecem widgets gratuitos, muitos deles super bacanas. Já conferiu o que eles fazem?

    Espalhe a palavra e ajude a deixar a Internet mais segura 😉

  • Lulu vs Tubby
    Fun,  Internet,  Segurança

    Lulu, Tubby e privacidade no Facebook

    O assunto mais comentado nas redes sociais das duas ou três últimas semanas está relacionado a exposição na Internet. Logo após alguns tristes episódios veiculados pela mídia, acerca do suicídio de meninas que tiveram videos e fotos íntimas disponibilizadas publicamente na Internet, um aplicativo polêmico caiu no gosto das brasileiras. Quase que ganhando força com as tragédias, o Lulu, um aplicativo que tem o propósito de “avaliar homens” para consulta pública pelas mulheres, virou alvo de muitas discussões acerca de exposição, incoerência, vingança e – principalmente – privacidade.

    Existem 2 focos no Lulu, claramente: as mulheres que usam o aplicativo para “se vingar” de ex-ficantes/namorados/noivos/maridos e homens que usam o aplicativo para autopromoção. Sim, é possível acessá-lo sendo homem, no entanto não é possível alterar, filtrar ou controlar que tipo de informação é divulgada em seu perfil. Perfil esse, criado a sua revelia e disponível publicamente, com pontuações atribuídas de acordo com os julgamentos das mulheres, e hashtags que indicam traços da personalidade dos homens (personalidade numa visão mais ampla, pois são expostos aspectos socio-econômicos, atributos físicos, emocionais e comportamentais através das hashtags – consideradas por muitas como “engraçadas”).