SCAM / SPAM

SPAM

Introdução

O termo spam, longe do mundo virtual, é, na verdade, a marca de um presunto enlatado americano, que não tem relação com o envio de mensagens eletrônicas não solicitadas.

Introdução

Spam é considerado um abuso e se refere ao envio de um grande volume de mensagens não solicitadas, ou seja, o envio de mensagens indiscriminadamente a vários usuários, sem que estes tenham requisitado tal informação.

Tipos de spam

Boatos e correntes  Propagandas  Outros: ameaças, brincadeiras, etc. 

Alguns artifícios usados pelos spammers

One-time e-mails  "Caso não tenha interesse em continuar

recebendo este tipo de mensagem, por favor solicite sua retirada de nossa lista de distribuição, enviando e-mail para remove-me-from-list@... “

"Se este assunto não lhe interessa, apenas delete este e-mail (Just hit delete)" 

Alguns artifícios usados pelos spammers

"Você se cadastrou em nosso site e, portanto, está recebendo esta mensagem. Caso queira sair de nossa lista de divulgação...“

"Você foi indicado por um amigo e por isso estamos contatando-o. Caso queira sair de nossa lista de divulgação..." 

"De acordo com a lei xxxx, este e-mail não pode ser considerado spam..." 

Alguns artifícios usados pelos spammers

"Consultamos sua home page, e sua empresa foi selecionada para participar de ... Esperamos não ter importunado com nosso contato..." 

Prevenção

5.1 Recomendações ao administrador Relay  Filtros  Listas da ORBs e MAPS  Educação e conscientização dos usuários  Spam e Políticas de segurança  RFC 2142: abuse@domínio , postmaster@

domínio , etc...  Envio de reclamações 

Prevenção

5.2 Recomendações ao usuário Siga a Netiqueta  Não repasse boatos ou correntes  Não caia em "contos do vigário": remove me..., just

delete..., etc.  Nunca responda para um spammer, nem se envolva

em discussões com o mesmo. Isto gera mais spam!  Não tente revidar, atacando o spammer: este tipo de

retaliação não funciona.  Cuidados de higiene com seu(s) e-mail(s)  Filtros 

Como agir diante de um spam?

O mandamento básico é reclamar. Não se deve ignorar o recebimento de spam, pois isto encoraja cada vez mais este tipo de prática.

Como agir diante de um spam?

Enviar a notificação ao administrador ou contato técnico pela rede origem do spam;

Anexar à reclamação, o header completo do e-mail de spam;

Anexar à reclamação, o conteúdo da mensagem de spam, somente se incluir informações relevantes para uma eventual investigação;

Em caso de uso de relay, deve-se copiar a reclamação para o administrador ou contato técnico pela rede que hospeda o servidor usado como relay;

Como agir diante de um spam?

Opcionalmente, pode-se encaminhar a reclamação com cópia para o MAPS através do e-mail relays@mail-abuse.org;

Identificar o usuário que enviou o spam; Advertir ou punir o usuário spammer de

acordo com as AUPs; Responder ao reclamante.

SCAM

Introdução

As fraudes on-line visam, em geral, o sequestro de dados bancários (conta, senha) e pessoais, ou outras informações que possam ser úteis a malfeitores.

Este tipo de fraude eletrônica tem sido denominado phishing ou ainda phishing scam — algo como fraude “pesca-bobos”, em português.

Introdução

Os fatores que, combinados, levam à ocorrência e proliferação de phishing são: a facilidade com que um e-mail pode ser forjado e

fraudado; a proliferação e a diversificação de listas e

programas para envio de spam (mala-direta ilegal por correio eletrônico) em larga escala (milhões de mensagens de uma vez);

a facilidade de se publicar qualquer conteúdo e arquivos executáveis na web, principalmente em serviços de hospedagem gratuita e que não exigem uma identificação legítima;

Introdução

a carência de legislação e meios de controle e segurança que permitam rastrear, identificar, coibir e punir ações criminosas na Internet de forma rápida, eficaz e globalizada;

e, claro, a existência de uma quantidade enorme de usuários de Internet com pouco ou nenhum conhecimento técnico, ingênuos e despreparados para sequer desconfiar dos perigos existentes.

Previna-se! Não se deixe enganar por uma fraude na Internet.

Link para Programa Um programa malicioso é criado e colocado na web pelo

malfeitor. O malfeitor cria uma mensagem fraudulenta com uma

mentira usando um tema de impacto, que possa atrair a atenção de várias pesssoas, visando induzir destinatários a clicar em um link da mensagem, que na verdade leva ao programa malicioso hospedado na web.

O malfeitor envia a mensagem fraudulenta por correio eletrônico (e-mail) a milhões de pessas, usando as práticas de spam (lixo eletrônico).

Link para Programa

Uma parte dos destinatários incautos acredita na fraude e clica no link, baixa o programa e o executa!

Em geral a execução do programa não produz nenhum resultado aparente, mas ele se instala para ficar em execução permanente e realizar suas ações furtivas e maléficas.

Cartões e Mensagens

é uma das fraudes mais comuns para levar ao download e execução de um programa malicioso. Com aparências que vão do grosseiro à imitação bem feita, fingindo ser originado de um serviço de cartões virtuais realmente existente ou muitas vezes nem isso, as variações são muitas.

Cartões e Mensagens

Notificações Financeiras e Cadastrais

Temas financeiros e cadastrais também são constantes nas fraudes: pendências de CPF, título eleitoral e de crédito, avisos de pagamentos, débitos e cobranças, transações de comércio eletrônico, orçamentos.

Notificações Financeiras e Cadastrais

Informações/Notícias Bombásticas e Apelos Dramáticos

“Você está sendo traído!” “Osama Bin Laden foi preso!” Clicando no link fornecido na mensagem você veria “as imagens” em primeira mão; na verdade, daria uma mão ao malfeitor para instalar o trojan.

Informações/Notícias Bombásticas e Apelos Dramáticos

Download de Programas

Ferramentas de segurança e proteção, novas versões de software, créditos para celular pré-pago... ofertas de todo tipo de download “útil” de graça. Na verdade, o programa é um trojan, útil só para o fraudador, e quem paga é você.

Download de Programas

Download de Programas

Prêmios, Promoções e Campanhas

A mensagem instrui a clicar no link para preencher o “formulário eletrônico”, mas na verdade seria para assinar um verdadeiro atestado de ingenuidade ao baixar e executar um trojan.

Prêmios, Promoções e Campanhas

Temas Adultos e Erotismo

Sexo e erotismo sempre foram temas bastante presentes na Internet. Não é diferente com as fraudes eletrônicas.

Temas Adultos e Erotismo

Formulários

Enquanto os cavalos de tróia (trojan) em geral instalam programas espiões com o objetivo de sequestrar informações pessoais e configurações do computador, uma variação de fraude usa abordagem mais direta: tenta enganar o usuário de modo a fazê-lo docilmente preencher um formulário, em geral com dados pessoais e bancários, que é enviado para algum destino criminoso.

Formulários

Internacionais

Quase todos os phishings internacionais compartilham a mesma característica: a mensagem de fraude refere-se a um banco dos EUA e exibe apenas uma imagem (GIF) contendo uma logomarca e o texto fraudulento (em inglês); a imagem é um link que levará a um formulário web para raptar dados bancários.

Internacionais

Indícios de phishing scam

Apresentação descuidada; Link destino não confiável; Informação improvável; Impessoalidade; Remetente suspeito.

Programas que auxiliam a identificar fraudes

O cliente de e-mail Thunderbird, programa livre do projeto Mozilla foi pioneiro em incluir um recurso automático que analisa mensagens para detectar técnicas de “phishing scam”.

Programas que auxiliam a identificar fraudes

Programas que auxiliam a identificar fraudes

Quando a fraude leva a vítima a abrir uma página na web, outra ferramenta útil é utilizar o navegador Firefox, que possui proteção anti-fraudes (Phishing Protection) nativa. Em parceria com o cadastro de fraudes do Google Safe Browsing, o recurso de Navegação mais segura com a proteção contra fraude faz o Firefox exibir o seguinte alerta, ao entrar em uma página de fraude já reportada.

Programas que auxiliam a identificar fraudes

Programas que auxiliam a identificar fraudes

Alertas institucionais

Diversas empresas e instituições que são tema frequente de fraudes têm divulgado alertas e orientações a respeito. A seguir, uma coletânea de informativos.

Alertas institucionais

Governo e Serviços Públicos Departamento de Polícia Federal (destaque na

página principal; Receita Federal do Brasil (links de destaques na

página principal; Correios (destaque na página principal);

Alertas institucionais

Telecomunicações Vivo (atalho discreto no rodapé da página

principal, Vivo Minas Gerais (destaque na página principal);

Claro (destaque no rodapé da página principal); TIM (atalho discreto na página principal); Oi (nada na página principal, somente menus);

Alertas institucionais Bancos e Crédito

Banco do Brasil (destaque na lateral da página principal e no rodapé das páginas);

Caixa Econômica Federal (no rodapé das páginas); Itaú (destaques na página principal e no cabeçalho de todas as

páginas); Unibanco (no rodapé das páginas); Bradesco (destaque na lateral da página principal); Santander (no rodapé das páginas); Banco Real (destaque no cabeçalho das páginas); HSBC (no cabeçalho de acesso ao Meu HSBC e no rodapé das

páginas); Citibank (no rodapé das páginas); Banco Central do Brasil (nota em destaque na página principal); Serasa Experian (pequeno atalho no rodapé da página principal); SPC Brasil (destaque na lateral das páginas).

Alertas institucionais

Comércio Eletrônico Mercado Livre (no rodapé das páginas); PontoFrio.com.

Internacional PayPal