Neste artigo nós veremos um exemplo de tentativa de phishing em um e-mail que eu mesmo mandei para mim, mas em nome do banco. Conteúdo principal: enviar um e-mail em nome de outra pessoa, chegarmos até o IP de quem enviou e considerações.
Por: André Rosa
Introdução
Neste artigo vamos elaborar uma análise forense sobre o phishing, a tentativa de roubo de dados via e-mail, o que é muito comum hoje em dia.
Recebemos e-mails em nome de bancos e outras instituições e sempre tem alguém que cai no golpe, seja baixando os programas anexados, enviando dados pessoais, senhas etc.
Vamos identificar o IP de quem nos enviou o e-mail ou spam nos servidores do UOL, Yahoo e Bol. É sempre bem parecido, não existe segredo nem dificuldade nenhuma em fazer isto.
Antes de prosseguir no artigo, peço que vocês façam a leitura dos textos abaixo para um melhor entendimento do assunto. Quem já sabe o que é computação forense e toda definição derivada pode continuar sem a leitura se quiser.
Textos:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Vamos a pratica...
Enviando e localizando os e-mails
Vamos ver um exemplo de e-mail falso que foi enviado de "Infoemail@bradesco.com.br":
Você deve estar se perguntando, como alguém consegue criar um e-mail @bradesco se eles não tem autorização e o Bradesco não disponibiliza isso para qualquer um?
Simples! Eles não criam o e-mail, uma forma de fazer isto é por um formulário PHP. por exemplo um sisteminha de contato de um site, com os campos nome, e-mail e mensagem. Muitas das vezes eles estão configurados para receber do e-mail em que a pessoa preencheu.
Ex.:
Nome: João da Silva
E-mail: joaosilva@mail.com
Mensagem: Olá?
Ok, quando vou verificar meu e-mail, terei os dados:
"João da Silva" <joaosilva@mail.com>
Data: Seg, Dezembro 28, 2009 6:09 pm
Para: meu@email.com
Prioridade: Normal
Viram só, mas aí é que tá. Quem garante que é o João da Silva? Tanto é que eles não pedem para você enviar a senha por e-mail, sempre dão um link que levam até um programa (que possivelmente rouba senhas e/ou invade a máquina). Ainda bem que usamos Linux, não é?! Pinguim adora esses bichinhos!
Vamos a melhor parte, chegando até o IP de quem lhe enviou o e-mail.
Localizando a origem
Como vocês viram na última imagem, temos a opção "Ver cabeçalho completo " logo abaixo de "Prioridade" (isso é, nos e-mails do UOL).
Clicando ali vai exibir o cabeçalho completo, com várias informações sobre o e-mail recebido. no Yahoo não é tão diferente!
Você deve clicar em "Cabeçalhos completos", que fica lá em baixo, ao lado de "Selecionar a codificação da mensagem".
Vamos ver o cabeçalho completo de outro spam que eu recebi no meu e-mail na Yahoo:
Lá eu selecionei o IP de quem enviou para vocês verem. Viram como é fácil?!
No Bol que é um pouco diferente, é só ir em "mais ações", lá em baixo, ao lado de "spam" vão abrir varias opções, clique em "ver o código".
É claro que quem lhe enviou o e-mail pode estar usando um proxy público ou qualquer outro tipo, mas está aí uma forma de chegar até a origem do spam.
Considerações finais
Bom, só para encerrar, vamos esclarecer algumas dúvidas...
Bancos não enviam e-mails, muito menos pedindo para baixar programas.
Recebeu um e-mail solicitando algum tipo de informação? Procure se informar contatando quem lhe enviou o e-mail, não dê suas informações de bandeja para ninguém, ainda mais pela internet.
Procure manter um antispam.
Se possível use o SPF, uma tecnologia para combater a falsificação de endereços de retorno dos emails, ou melhor dizendo uma política.
Mais informações sobre o SPF em:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Por: André Rosa
Introdução
Neste artigo vamos elaborar uma análise forense sobre o phishing, a tentativa de roubo de dados via e-mail, o que é muito comum hoje em dia.
Recebemos e-mails em nome de bancos e outras instituições e sempre tem alguém que cai no golpe, seja baixando os programas anexados, enviando dados pessoais, senhas etc.
Vamos identificar o IP de quem nos enviou o e-mail ou spam nos servidores do UOL, Yahoo e Bol. É sempre bem parecido, não existe segredo nem dificuldade nenhuma em fazer isto.
Antes de prosseguir no artigo, peço que vocês façam a leitura dos textos abaixo para um melhor entendimento do assunto. Quem já sabe o que é computação forense e toda definição derivada pode continuar sem a leitura se quiser.
Textos:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Vamos a pratica...
Enviando e localizando os e-mails
Vamos ver um exemplo de e-mail falso que foi enviado de "Infoemail@bradesco.com.br":
Você deve estar se perguntando, como alguém consegue criar um e-mail @bradesco se eles não tem autorização e o Bradesco não disponibiliza isso para qualquer um?
Simples! Eles não criam o e-mail, uma forma de fazer isto é por um formulário PHP. por exemplo um sisteminha de contato de um site, com os campos nome, e-mail e mensagem. Muitas das vezes eles estão configurados para receber do e-mail em que a pessoa preencheu.
Ex.:
Nome: João da Silva
E-mail: joaosilva@mail.com
Mensagem: Olá?
Ok, quando vou verificar meu e-mail, terei os dados:
"João da Silva" <joaosilva@mail.com>
Data: Seg, Dezembro 28, 2009 6:09 pm
Para: meu@email.com
Prioridade: Normal
Viram só, mas aí é que tá. Quem garante que é o João da Silva? Tanto é que eles não pedem para você enviar a senha por e-mail, sempre dão um link que levam até um programa (que possivelmente rouba senhas e/ou invade a máquina). Ainda bem que usamos Linux, não é?! Pinguim adora esses bichinhos!
Vamos a melhor parte, chegando até o IP de quem lhe enviou o e-mail.
Localizando a origem
Como vocês viram na última imagem, temos a opção "Ver cabeçalho completo " logo abaixo de "Prioridade" (isso é, nos e-mails do UOL).
Clicando ali vai exibir o cabeçalho completo, com várias informações sobre o e-mail recebido. no Yahoo não é tão diferente!
Você deve clicar em "Cabeçalhos completos", que fica lá em baixo, ao lado de "Selecionar a codificação da mensagem".
Vamos ver o cabeçalho completo de outro spam que eu recebi no meu e-mail na Yahoo:
Lá eu selecionei o IP de quem enviou para vocês verem. Viram como é fácil?!
No Bol que é um pouco diferente, é só ir em "mais ações", lá em baixo, ao lado de "spam" vão abrir varias opções, clique em "ver o código".
É claro que quem lhe enviou o e-mail pode estar usando um proxy público ou qualquer outro tipo, mas está aí uma forma de chegar até a origem do spam.
Considerações finais
Bom, só para encerrar, vamos esclarecer algumas dúvidas...
Bancos não enviam e-mails, muito menos pedindo para baixar programas.
Recebeu um e-mail solicitando algum tipo de informação? Procure se informar contatando quem lhe enviou o e-mail, não dê suas informações de bandeja para ninguém, ainda mais pela internet.
Procure manter um antispam.
Se possível use o SPF, uma tecnologia para combater a falsificação de endereços de retorno dos emails, ou melhor dizendo uma política.
Mais informações sobre o SPF em:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Comment