O que fazer quando receber um e-mail Scam

Já se tornou comum recebermos e-mails com notícias boas demais para serem verdadeiras, ou então em um tom tão emergencial que desespera quem está recebendo. Porém, é sempre bom estar atento a esses casos porque muitas vezes podem se tratar de ciberataques. É o caso do Scam, um tipo de e-mail fraudulento em que o objetivo do atacante é enganar a vítima para que ela pague por algum objeto, serviço, compra ou prêmio, que é falso.

Apesar de muito parecido na execução o scam tem objetivos diferentes do phishing.

O phishing é o ato de enviar um e-mail passando-se, de forma falsa, por uma pessoa ou organização legítima que geralmente é combinado com um link falso para obter informações confidenciais da vítima, como detalhes da conta bancária, e-mail de acesso e senha. Já o scam é um e-mail fraudulento que visa enganar a vítima com o propósito de receber ganhos injustos ou ilegais, de diversas formas diferentes.

Em outubro deste ano, observamos um grande aumento de um tipo específico de scam – o scam ransom. Esse tipo de e-mail fraudulento tem como objetivo assustar a vítima para faze-la pagar uma quantia em dinheiro ou, na maior parte das vezes, em bitcoin, que varia entre 300 e 900 dólares em bitcoins.

O Scam Ransom desespera a vítima e faz com que a mesma pague uma quantia em dinheiro ou bitcoin.

Esse aumento está relacionado à falsos vazamentos de acessos à conteúdo adulto, ou seja, vítimas recebiam e-mails alegando que seus acessos foram vazados e no desespero pagavam uma quantia ao cibercriminoso. Nos Estados Unidos, este tipo de scam também é conhecido como sextortion.

Scam ransom

Os scammers, golpistas virtuais que criam e disparam os scams, fazem com que as vítimas acreditem que tiveram seus computadores hackeados e que os computadores estão sob o controle deles, ou seja, tudo o que é feito no computador seria assistido e gravado pelos scammers por aproximadamente um ano. Eles, então, fazem apelos cheios de imediatismo e ameaças e chantageiam as vítimas para que elas paguem uma quantia em troca de seu silêncio.

Para ilustrar esse tipo de ataque, vamos analisar o caso do e-mail scam “I’m a programmer who cracked your email account.” Dessa forma fica mais fácil de reconhecer um e-mail scam.

E-mail ScamNo caso acima podemos notar, já no assunto, que se trata de um e-mail que tem o objetivo de assustar a vítima. A tarja preta foi adicionada para cobrir o e-mail real do destinatário. Sem a tarja preta, o assunto do e-mail ficaria assim: <seu e-mail>  is compromised. Password must be changed.

O e-mail começa com uma apresentação rápida do scammer que se auto intitula programador dizendo que roubou informações de e-mail e senha quando a vítima as colocou em um site malicioso. Logo após, ele informa que não importa se a vítima irá trocar a senha do e-mail porque ele tem um dispositivo chamado RAT instalado no computador da vítima.

O e-mail começa informando que o scammer obteu o e-mail e senha da vítima quando essa as colocou em um site malicioso.

 

Um RAT (Remote Administration Tool ou Remote Access Trojan) é uma ferramenta utilizada por hackers para espionar computadores e usuários. Essa ferramenta conta com outras ferramentas como backdoors, que abrem uma brecha no sistema para que o hacker possa entrar. Uma vez dentro do sistema, o hacker pode utilizar outras ferramentas como keyloggers (captam tudo o que é digitado pelo usuário no teclado), tirar prints de tela, gravar áudios e vídeos, distribuir ameaças, deletar ou alterar arquivos, etc.

Resumidamente o hacker vai ter o controle total do sistema alvo. Essa ferramenta é real e existem diversos tipos, mas isso não quer dizer que só porque foi citada na mensagem, o scammer realmente tenha instalado algo no computador da vítima.

Voltando à análise, o scammer informa que não adianta tentar contata-lo pois enviou o scam através do próprio e-mail a vítima. Se a vítima observar o remetente do e-mail, verá que ela enviou o e-mail para si mesma.

Porém, isso é mais uma técnica para enganar as pessoas. Essa técnica, chamada spoofing, é uma falsificação de e-mail somente na parte em que o e-mail é mostrado na tela. Se formos analisar o cabeçalho do e-mail (informações de tráfego de rede do e-mail), notaremos que o e-mail real de onde partiu o scam estará diferente ou estará como desconhecido. Falsificar um e-mail com essa técnica é algo muito utilizado por e-mails com os quais já estamos familiarizados, os spams.

O scammer então informa a vítima que o sistema dela está comprometido e que salvou informações de todos os contatos dela e ao histórico de navegação. Novamente, ele informa que tem um RAT no sistema para espionar vítima.

Até então, a mensagem está bem genérica e poderia ter sido enviada para qualquer pessoa até que o scammer informa que “costuma bloquear dispositivos para pedir resgate regularmente com diversas vítimas, porém ficou impressionado com os sites de conteúdo adulto/íntimo que a vítima costuma visitar”.

A partir deste momento, ele parte para uma abordagem mais pessoal, continua informando que gravou ou tirou prints da vítima acessando os tais sites e faz ameaças sobre como seria constrangedor que isso fosse espalhado pela rede de amigos da vítima.

Após as ameaças, o scammer informa que o pagamento deverá ser feito em bitcoin, dá o endereço da carteira e ensina a vítima a fazer o pagamento e, assim como toda chantagem, promete que após o pagamento todo o conteúdo vazado da vítima será deletado. O scammer aumenta o tom das ameaças, fazendo com que soe urgentes. Ele ainda estipula prazos e informa que continua observando a vítima e pede para que ela seja prudente e pague o resgate.

Como identificar um scam:

Mesmo tornando a abordagem mais pessoal, como se aquela vítima específica tivesse lhe chamado a atenção pelo conteúdo visitado, ele não se refere a vítima pelo nome em nenhum momento e sequer utiliza o mesmo nome do e-mail que teria sido hackeado.

A grande maioria das pessoas que acessam sites de conteúdo adulto não querem que sua rede de amigos saiba de seus acessos então, mesmo que pareça que o cibercriminoso esteja sabendo dos acessos da vítima, é na verdade uma chantagem baseada na presunção que a vítima não vai querer ter esse tipo de dado exposto.

O tom ameaçador e alarmista nos lembra outros tipos de e-mails maliciosos como os de phishing, que também utiliza desse tom para que as pessoas acessem rapidamente o link malicioso sem se dar o tempo de pensar no que está acessando ou de pesquisar.

Além desses pontos, que já indicam que esse tipo de e-mail foi disparado de forma massiva e não específica, com uma rápida pesquisa no Google da primeira frase “I’m a programmer who cracked your email account” é possível identificar diversos relatos de pessoas que receberam esse e-mail e também a carteira de bitcoin a que o cibercriminoso se refere, porém, existem diversas carteiras sendo utilizadas por esse mesmo tipo de golpe.

carteira de bitcoin scamAtualmente, a carteira desse ataque em específico já continha mais de 1 bitcoin em pagamento e esses pagamentos estavam sendo transferidos para outra carteira que já continha mais de 5 bitcoins. Essas transferências podem ocorrer de forma quase infindável com o objetivo de camuflagem.

Isso significa que esse tipo de fraude está sendo efetiva em seu objetivo e as pessoas estão realmente assustadas e pagando o preço.

Alguns desses e-mails scams estão circulando pela web desde o início de 2018 e alguns desde o final de 2017. Alguns exemplos deles são:

“I’m a programmer who cracked your email account”

“It seems that your password is”

”Hello! My nickname in darknet is”

”Installed RAT software”

É importante citar que, muitos e-mails de scammers estão apresentando além do e-mail possivelmente hackeado, uma senha válida utilizada pela vítima. Podemos observar isso no exemplo a seguir:

username scammer

No entanto, que meios os scammers utilizam para descobrirem seu e-mail e senha?

Como os scammers descobriram seu e-mail e sua senha

Muitos sites e empresas não tratam os dados de seus clientes da forma como deveriam, isso até ter entrado em vigor a norma europeia (GDPR) e a brasileira LGPD, que servem para regulamentar e proteger dados pessoais dos cidadãos. Com a falta de regulamentação sobre dados foi dado margem para diversas violações de dados acontecessem.

Recentemente, diversos vazamento de dados de clientes de grandes empresas foram publicados na imprensa. São os casos da NetShoes, onde 2 milhões de consumidores foram afetados pelo vazamento, da Yahoo, que sofreu um vazamento de 3 bilhões de contas, e o mais recente do Facebook, que teve 87 milhões de informações vazadas, dentre outros tantos.

Os scammers tiveram acesso a esses dados vazados na deep web – uma rede que não é indexada pelos mecanismos de buscas e é comumente utilizada para atividades ilegais. Em algum vazamento de dados, podem ter vazado não somente os e-mails de clientes também as senhas que eles utilizavam para acessar os sites, portanto, os scammers acabam tendo acesso a esse tipo de informação.

Com essas informações em mãos, os scammers criaram esses e-mails fraudulentos com o objetivo de realizar golpes para obter lucro. Como muitas pessoas mantem a mesma senha para diversos serviços e aplicações e não costumam atualizar ou modificar a senha periódicamente, mesmo que o scammer não tivesse sequer tentando realmente hackear o e-mail, as pessoas acreditariam que haviam sido hackeadas.

Como se proteger desse golpe?

Agora que sabemos como se configura e o que fazer quando receber um e-mail scam, como nos protegemos desse tipo de ataque?

1. Mude suas senhas periodicamente;

2. Nunca utilize a mesma senha em sites, sistemas operacionais, aplicações e bancos;

3. Não reutilize uma senha antiga;

4. Utilize senhas fortes – mínimo de 8 caracteres com algarismos numéricos, letras maiúsculas e minúsculas, símbolos.

5. Utilize o fator de autenticação dupla, se possível;

6. Não abra e-mails que foram parar na lixeira a menos que você saiba exatamente do que se trata ou esteja esperando aquele e-mail. A chance de ser um e-mail malicioso é realmente grande.

7. Pesquise se sua conta foi vazada através desse site. Você pode verificar se sua conta já sofreu alguma brecha e poderá mudar imediatamente os acessos das contas vazadas.

8. Se alguma informação sua foi vazada anteriormente, como e-mail, religião, nome dos filhos, etc, fique atento pois isso poderá ser utilizado contra você futuramente.

Com o vazamento de informações de clientes de grandes empresas, o ambiente fica muito mais propício para que ataques de e-mail scam aconteçam. Observando o prejuízo que esses ataques podem acarretar fica fácil entender o porquê é importante saber como identificar e o que fazer quando receber um e-mail scam.

É essencial não ficar alardeado por mensagem desse tipo, verificar de onde o e-mail realmente está vindo e ficar atento para possíveis fraudes. Verifique se a técnica de spoofing está sendo utilizado, pesquise para saber se outras pessoas já sofreram esse ataque.

Afinal, assim como nem tudo que brilha é ouro, nem todo alarde representa uma ameaça.

0 respostas

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe um comentário

O seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.