Oi, gente. Tenho recebido diariamente tentativas de golpes via email e pra minha desgraça (e vergonha), hoje finalmente caí em um. É um email cujo remetente é receita@gov.br e que fala que há inconsistências na sua declaração de imposto de renda e você passará por malha fina. Isso em um ano que eu nem precisei declarar, mas né? Aquele pânico gostoso. E aí cliquei na porcaria do link pra baixar o “pdf” com as tais das inconsistências, que me redirecionou pro google.
Fui no site da receita, procurei e procurei até encontrar que não, não tenho nenhuma pendência com a malha. E aí, obviamente em seguida encontrei uma matéria do G1 detalhando o golpe. Estou realmente impressionada em como é aparentemente fácil falsificar um endereço de email @gov.br.
Pois bem, minha questão é, esses links executáveis costumam mirar em máquinas Windows e tudo mais mas não existe risco zero nunca, então eu deveria me preocupar (muito)? E que medidas posso tomar? Vi que dá pra instalar um tal de ClamTK pra dar uma escaneada por aqui, mas se tiverem opiniões sobre esse programa agradeço também.
Imagino que possam mirar o roteador aqui de casa também, mas não sou entendida. Meu sistema operacional é PopOs (atualizadinho bonitinho), navegador Firefox com ublock origin instalado, email Hotmail (que eu sei que é péssimo). Estava logada no site .gov.br quando aconteceu, mas não sei se tem relevância isso também. Ah, e andei recebendo uns pedidos de código de uso único no hotmail ontem e hoje também.
Agradeço a atenção
Nossa, lendo o seu relato e com um que eu vi recentemente sobre uma cliente da NUbank, é muito complicado procurar ferrentaa ou métodos porque casa abordagem pra persuadir é de um jeito. E estudando cyber cegurança, eu aprendi algo que, quanto mais compartilharmos experiência melhor.
Então pra melhorar a sua percepção, eu diria para entrar na pasta Junk, Lixo ou Spam e só ver o conteúdo dos emails que estão lá. Sem clicar no conteúdo. Apenas pra ver os padrões de emails que chegam até você. Pois, alguns e-mails passam pelos filtros e vão pra caixa de entrada.
Então eu já sei o padrão de emails que chegam pra mim pois eles possuem os mesmos títulos, formas de mostrar falso anexos e remetentes.
Espero ter ajudado.
Realmente, tem alguns padrões mais recorrentes. Vou tentar me atentar mais a isso. Obrigada!
Estou mais tranquila e informada
Muito obrigada pessoal, vcs são 10!
Procure “mail spoofing”. E aprenda: EMAIL NÃO É PROTOCOLO SEGURO. Sempre desconfie e nunca pague docs dele (de verdade, nunca! Mais de uma vez vi uma empresa mandar o doc por PDF, o email ser interceptado e chegar na ponta o mesmo email mas um PDF alterado com outro banco!!! Até hoje nunca compreendi como fazem isso)
Anos atras fiz um spoofing usando uma vulnerabilidade antiga do hotmail mandando um email para um conhecido como remetente “pirataria@universal.com.br”. Ainda hoje sorrio lembrando do caso…. :)
É bom procurar os metadados S/MIME da mensagem suspeita que são justamente para a segurança.
Como faz isso? E como analisar esses metadados? Especialmente no caso de uma pessoa leiga (eu)
Não conhecia, bom pra entender o que aconteceu!
Alguns servidores de email são mais vulneráveis que outros? No caso, o hotmail é especialmente vulnerável a esse tipo de alterações?
10 anos atras (ou 15?…) era!
Hoje em dia sei que usam muito @terra para spoofing pelo que vejo dos meus clientes, mas acho que não é apenas eles… esses boletos falsos que vi 3 ou 4 vezes, todas usaram servidor terra (procure email header no google, tem como ver quem realmente mandou o email que venho como @gov.br, o servidor que autenticou a saída).
Olha, não sou especialista em segurança digital, embora me interesse pelo tema. Eu te diria pra conferir com cuidado a segurança do seu e-mail, deslogando de quaisquer dispositivos estranhos e mudando a senha – como o pessoal aqui embaixo já falou. Mas te diria também pra não se preocupar muito com vírus que afetem o seu sistema, porque é muito difícil algo se instalar no Linux sem a sua aprovação. Dito isso, até onde eu sei, o ClamTK se mostrou bem falho em detectar ameaças nos últimos estudos. Embora essas análises sejam antigas, acho que pouca coisa deve ter mudado desde então, já que não vi mudanças muito drásticas no projeto, então é possível ter uma ideia geral.
Vale a pena ficar atenta ao seu navegador, ver se nada estranho apareceu e, nesse caso, é interessante fazer uma limpa geral. No mais, por experiência própria, eu diria que abrir esses e-mails ou interagir com eles é um carma, porque é comum que eles notifiquem ao remetente essas interações. Isso confirma que aquele é um e-mail ativo e, então, os criminosos sabem que podem encontrar algo nele. Fica atenta aos próximos e-mails que receber e à segurança da sua conta, ok? Comigo, passei meses recebendo spam depois de um clique em um link falso que recebi, felizmente todos eram visivelmente falsos e nada demais aconteceu.
Gente do céu, o Órbita deveria deixar a gente editar os comentários (ou eu deveria começar a rever o texto antes de enviar)
Ok! Obrigada.
Aparentemente está tudo ok com o navegador, não apareceu nenhuma extensão nova nem nada do tipo.. Não encontrei nenhum arquivo estranho no computador também. Vou considerar que tá tudo certo, com uma pulguinha atrás da orelha aqui. Senhas trocadas, histórico limpo e vida que segue..
Lamento pelo ocorrido :(
Concordo com tudo que já disseram abaixo.
A dica que deixo pra se prevenir, que tem funcionado bem pra mim, é conferir o remetente “de verdade”, que no Gmail pelo menos você pode encontrar em “Ver detalhes de segurança”, dentro do cabeçalho do e-mail. Na maioria dos e-mails não legítimos, ali tem endereços super esquisitos.
Esses dias, por exemplo, recebi um golpe tentando se passar pelo Bradesco, e cujo remetente era “security@bradesco.com.br”, mas ao entrar nessas informações o sender era “root@xcv4.pontosbrlocal.store”
Muito obrigada.
O hotmail não tem essa função (que eu saiba), o que acontece às vezes é eles digitarem no “nome” do remetente o que seria o email falso e no corpo do email ter outra coisa e aí só dá pra ver abrindo mesmo ou clicando em “bloquear o remetente” só pra ver quem de fato é o remetente.. mas a interface do hotmail é bem zoada então né. Mais um motivo pra migrar de servidor. Achei uma ótima dica!
Pior que também recebi uma tentativa de golpe usando o IR como isca e quase caí. Esses e-mails são muito bem feitos.
O anexo era um PDF mesmo? Executável? Se ainda tiver arquivo, é uma boa submetê-lo a um site tipo o VirusTotal, para saber com que tipo de malware estamos lidando.
Não, era só um link esquisito. E clicando aparecia no navegador a página inicial do google, bem estranho mesmo. Eu usei esse ClamTK pra ver se havia baixado algum arquivo de maneira oculta no meu computador ou algo do tipo, mas aparentemente não..
Não conhecia esse site!! Que bom que não deletei de vez o email do lixo hahah Mandei a url ali e ele não detectou nenhum programa malicioso, mas tem coisas que ele não sabe o que é.. E que bom que ele já fez um link com a análise!
Pessoal, se alguém com conhecimento técnico puder dar uma analisada é isso aqui ó:
https://www.virustotal.com/gui/url/3f76f3a9257ee1ced4c6c90af020857d84a81912069852c7821cdc35a0780637
Ficou com um ar meio esquisofrênico esse comentário, mas é pq a primeira parte era antes de ver que o email tinha ido pro lixo e a outra depois de ver que não e olhar melhor.. acho que aquele é um link executável mesmo, né?
Errata: achei que aquela lista seria algo tipo “componentes” ali, mas na verdade são os diferentes bancos de dados que estão avaliando né? De qualquer forma eles consideraram “limpo”. E realmente redireciona pro google.. passando por outros sites antes
Olha, eu não sei como funciona exatamente a mecânica do golpe desse e-mail que você recebeu. Pode ser que o PDF acabou acionando algum script na internet pra informar que você abriu o e-mail, e por conta disso o golpista está tentando acessar o seu e-mail com base em algum vazamento de senhas. Por isso eu mudaria a senha do e-mail, mesmo tendo o 2FA ativado, o que já é um alívio.
Geralmente esses golpes que contém um link ou um PDF (ou outro tipo de anexo) tentam te atrair para um site falso onde você coloca dados de sua conta (e-mail e senha), o famoso phishing. Pode acontecer de ser um executável também, que aí é mais perigoso no Windows, ou pode ser um script web, que atua mais no navegador, independente do sistema. Não sei se nesse caso um anti-vírus seria eficiente, mas eu limparia todo o cache do navegador, só por garantia.
E sobre o roteador, se ele tiver atualizado e não estiver com a senha padrão, acredito que não tenha muito problema. Só é mais preocupante se o navegador estiver público (acessível na internet) ou se o hacker tiver acesso remoto ao seu computador, o que não me parece ser o caso.
Muito, muito obrigada. Limpei o cachê aqui, dei uma escaneada com o antivírus que havia comentado e não encontrei nada, e vou atualizando as senhas devagarinho. Fui atrás do email de novo e coloquei o link ali no site que o Ghedin comentou e encontrei isso aqui:
https://www.virustotal.com/gui/url/3f76f3a9257ee1ced4c6c90af020857d84a81912069852c7821cdc35a0780637
Se puderes dar uma olhada e analisar o que é aquilo ali seria legal pra entender melhor o que é esse golpe
É fácil falsificar qualquer e-mail, dado o jeito que o sistema foi criado. Se o servidor que recebe não tem técnicas de certificação tipo DKIM, SRS, DMARC etc… difícil comprovar a origem. Ao mesmo tempo não da pra fechar completamente no estilo “só e-mail autenticado pode passar” porque senão outros sistemas legítimos porém defasados ficariam incomunicáveis
Foi nessa onda que comecei a analisar os diferentes e-mails falsos da Claro e me impressionava como alguns na pressa você pode até cair neles facilmente
Caramba, não fazia ideia. A maioria dos spams que chegam aqui tem uns endereços de email zoadíssimos..
Olha, não conheço bem o que esse tipo de golpe pode fazer, mas eu recomendo tu mudar as senhas das tuas contas de email, gov.br, etc.
Com certeza.. vou fazendo aqui aos poucos. Obrigada