Exclusivo: dados confidenciais de 2,5 mil políticos estão em “amostra” de megavazamentoComo é fácil encontrar os seus dados e aplicar golpes de phishing
O e-mail alega ser uma notificação de “acompanhamento processual” do STJ. No corpo da mensagem, constam duas fotos em miniatura do que parecem ser processos reais — com o brasão da República para dar um ar de legitimidade —, e o texto: “Remetemos,em anexo(sic),detalhes sobre seu processo juridico”. Os erros de digitação e gramática já levam a entender que não se trata de uma mensagem oficial do STJ. Ao observar o endereço do remetente, também percebe-se que o nome da Corte está invertido: “tribunalsuperiordejustiç[email protected]”. O golpista oferece dois arquivos para que o usuário ou baixe o processo ou visualize o documento para a impressão. Mas o resultado é o mesmo: uma infecção por um malware, um vírus de computador usado para controlar a máquina da vítima e roubar dados sensíveis.
E-mail @gov.br pode ser usado por qualquer pessoa
Como alguém pode usar um endereço de remetente que pareça mesmo ser legítimo — especialmente se tratando de um domínio relacionado ao governo? Como aponta o especialista Thiago Ayub, diretor de tecnologia da Sage Networks, o endereço gov.br não é registrável — diferentemente do que seria com algumacoisa.gov.br. Segundo Ayub, o endereço @gov.br não possui entrada TXT SPF, mas não há uma falha do governo, nesse caso: “Nenhum servidor de e-mail bem configurado deveria receber e-mails nessas condições”, explica.“É como se uma pessoa criasse um perfil de e-mail com o final ‘@com.com.br’. Simplesmente não há nada que impeça alguém de manipular o final do domínio @gov.br para tentar enganar usuários”, afirma Eduardo Schultze, que é líder de Threat Intelligence da consultoria de cibersegurança Axur. No e-mail recebido por um usuário e enviado ao Tecnoblog, o G Suite, serviço da conta corporativa do Google, não impediu a mensagem maliciosa de chegar na caixa de entrada, dando a entender que aquela mensagem era legítima. Para impedir mensagens suspeitas e spoofing — prática de falsificação de e-mail — o Google usa dois sistemas de autenticação de remetente: o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail). Cada e-mail enviado a um usuário do Gmail passa pelo processo de verificação feito por essas duas ferramentas. Para as empresas, além desses dois sistemas, o G Suite possui o DMARC (Domain-base Message Authentication, Reporting and Conformance). Diferentemente do SPF e do DKIM, essa ferramenta ajuda empresas a registrarem domínios e evitarem spoofing. Desta forma, por exemplo, uma pessoa comum não pode criar um e-mail com o nome de uma operadora de banda larga e enviar boletos de cobrança em seu nome. Mas já houve casos em que uma falha no servidor de uma empresa foi explorada por usuários. Aconteceu com a Uber: um cliente da empresa alertou que qualquer um poderia explorar a brecha e criar um e-mail falso @uber.com para cobrar por corridas e enganar usuários. Como os e-mails de spam e phishing são disparados para milhares de alvos simultaneamente, o Google também monta uma base de domínios suspeitos, se baseando nas leituras de mensagens feitas por DKIM, SPF e DMARC. Assim, o Gmail reúne todas essas informações para avisar o usuário do perigo. Mas o e-mail com @gov.br não foi detectado imediatamente como uma mensagem suspeita — a plataforma coloca uma grande etiqueta vermelha quando isso ocorre. E esse aviso só foi colocado na mensagem cinco horas após o recebimento, no caso de um usuário.
Hacker do @gov.br aluga servidor privado da Linode
Ao analisar as informações do remetente falso com o “@gov.br”, é possível observar que a mensagem partiu de um servidor privado da empresa Linode, conhecida por oferecer servidores de aluguel. Portanto, o esquema de phishing não é tão simples; existe uma infraestrutura criada exclusivamente para fazer os ataques e infectar máquinas de usuários. De acordo com Eduardo Schultze, da Axur, o IP da Linode é apenas para mascarar um segundo IP, associado ao arquivo presente no e-mail isca. O verdadeiro IP do atacante foi criado há pouco tempo, o que dificulta a detecção feita pelas ferramentas do Google. “Ele montou um servidor de e-mail, o configurou e usou para orquestrar os golpes. O usuário, ao baixar o arquivo, o baixa desse segundo IP. É até possível que o malware esteja dentro desse endereço”, explica Schultze. Em nota ao Tecnoblog, a Linode apontou que os termos de serviço da empresa proíbem o uso de servidores alugados para phishing. “O time de Segurança e Confiança da empresa investiga todo e qualquer abuso relatado”, disse a empresa de TI. A Linode não confirmou se o hacker foi banido e teve o uso de seu servidor suspenso.
Ataque usa Trojan que controla dispositivo remotamente
Segundo a análise de Alisson Moretto, Malware Researcher na Axur, o malware que o e-mail transmite é um RAT (Remote Access Trojan). Esse vírus é capaz de infectar o dispositivo da vítima e, a partir do download, controlá-lo remotamente. Segundo o catálogo de softwares maliciosos da Kaspersky, o RAT é classificado como extremamente perigoso porque permite ao hacker controlar a webcam, monitorar dados do teclado — ele decodifica o que você escreve —, e permite a instalação e desinstalação de programas. Apenas algumas versões de sistemas operacionais são capazes de reconhecer o controle remoto do hacker. O Windows 10 avisa o usuário caso isso ocorra, mas o Windows 7, por exemplo, não reconhece o vírus. Ao analisar as capacidades dos antivírus em lidar com o RAT, apenas 9 de 67 softwares identificaram o malware como uma ameaça ao sistema. Ao Tecnoblog, Moretto aponta:
Serpro não diz se pode colocar @gov.br como suspeito
O Serpro (Serviço Federal de Processamento de Dados), empresa de TI do governo federal, alega que nem todos os domínios da União são administrados pela estatal. Alguns setores do governo controlam a atividade de seus próprios endereços de e-mail, segundo o Serpro. Quando questionado sobre o golpe, o Serpro afirmou ao Tecnoblog que contém “várias ferramentas de barragem de e-mails maliciosos”, mas não respondeu sobre o uso do @gov.br. A estatal disse em nota: Por fim, a estatal alerta para que o usuário não clique em links suspeitos, não preencha formulários ou responda a e-mails com destinatários estranhos. “Caso seja necessário se comunicar com alguém da mensagem suspeita, isso deve ocorrer por canais oficiais”, completou o Serpro. O Serpro possui várias ferramentas de barragem de e-mails maliciosos, mas ainda não existe uma tecnologia com proteção integral para impedir o uso deste tipo de malware na internet. A cultura de segurança anti-spam entre os usuários é a chave principal para impedir esses ataques.” A reportagem questionou a empresa sobre a possibilidade de colocar o domínio @gov.br em uma lista de endereços suspeitos, mas não houve resposta até o horário de publicação. *Atualização em 2/02 às 22h23: o texto original sugeria que o governo teria algum controle sobre o registro do endereço @gov.br, o que não é o caso. A matéria foi alterada para corrigir a informação a partir de comentários de nossos leitores na Comunidade do Tecnoblog.