Em geral, uma das boas práticas a se fazer antes de clicar em qualquer link enviado por e-mail, é verificar se o domínio do remetente é legítimo. Quando recebemos um e-mail cujo domínio é @gov.br, logo confiamos que se trata de um e-mail legítimo de algum órgão do do Governo Federal. Pelo menos deveria ser assim. Mas não é o caso desta vez.
Golpistas estão usando o domínio @gov.br para enviar e-mails falsos, na tentativa de aplicar um golpe de phishing. O e-mail é sobre um “acompanhamento processual” do Superior Tribunal de Justiça (STJ), onde você deve baixar um arquivo para acompanhar o processo na íntegra. Entretanto, o download que será feito é de um malware de acesso remoto.
Leia também
Site do Ministério da Saúde sofre ataque hacker
Hackers vendem dados de mais de 3 milhões de clientes do Habib’s
No corpo do e-mail os golpistas também colocam duas fotos em miniatura do que parecem ser processos reais. Inclusive com o brasão da República. E há também o seguinte texto: “Remetemos,em anexo,detalhes sobre seu processo juridico”. Apesar de usar um domínio legítimo, o endereço do e-mail está errado: tribunalsuperiordejustiça@gov.br. A forma correta é o inverso, ou seja, superiortribunaldejustiça@gov.br.
Por fim, há dois arquivos que o usuário pode baixar. Um deles é para, supostamente, baixar o processo. E o outro é para ver o documento pronto para impressão. Mas, na verdade, ambos fazem um download de um malware para o seu PC.
:upscale:():format:(jpeg)/@/static/wp/2022/02/03/e-mail-gov-1-1060x596-1.jpg?fit=scale)
O malware é capaz de controlar seu PC remotamente
Como se não bastasse, o malware usado no golpe é bem perigoso. Trata-se de um Remote Access Trojan (RAT). Segundo a Kaspersky, renomada empresa de antivírus, o RAT possui uma classificação de “extremamente perigoso”.
Como o nome já deixa claro, este Trojan permite o acesso remoto ao seu computador. Desta forma o hacker consegue controlar a sua webcam, instalar e desinstalar programas e até mesmo decodificar o que você digita. E isso possibilita a descoberta de senhas importantes, como as de e-mail ou senhas bancárias.
Outro problema relacionado ao RAT é que apenas algumas versões dos sistemas operacionais mais populares conseguem identificar o comportamento malicioso. Por exemplo, algumas versões do Windows 10 avisam o usuário do controle remoto. Mas o Windows 7, que ainda é bastante usado, não tem essa capacidade.
/@/static/wp/2022/02/03/hero.pagespeed.ce_.TT4OTrIvt_.png)
E para piorar a situação, são poucos os softwares antivírus que conseguem identificar um RAT. Por se tratar de um software de acesso remoto, os antivírus não costumam identificar anormalidades. Pois esse tipo de programa é comumente usado em suportes técnicos e outras tarefas consideradas padrão. Uma pesquisa recente revelou que de 67 programas de antivírus, apenas 9 detectaram um trojan do tipo RAT. Preocupante.
Como o hacker conseguiu usar o domínio @gov.br?
Pois bem, acontece que qualquer pessoa pode enviar um e-mail com o domínio @gov.br. Ou @google.com. Ou @facebook.com. A questão é se o servidor de e-mail (Gmail, Outlook ou outro) vai aceitar essa mensagem desses domínios. Todo serviço de e-mail hoje possui ferramentas antispam e anti-spoofing bem competentes. Todo e-mail enviado passa pelas verificações SPF, DKIM e DMARC para garantir a sua autenticidade.
O SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail) são ferramentas de verificação que dizem se o e-mail é legítimo ou não. Acontece que o domínio @gov.br não conta com registros de SPF e DKIM configurados.
:upscale:():format:(png)/@/static/wp/2022/02/03/SPF-DKIM-improve-2020_1200x628.png?fit=scale)
Além disso, o Google usa a ferramenta DMARC (Domain-base Message Authentication, Reporting and Conformance). Ela consiste em um registro de domínios confiáveis com o objetivo de evitar spoofing. Desta forma, é impossível criar um e-mail com o domínio de uma empresa, como uma operadora de telefonia, por exemplo, e enviar boletos de cobrança para outras pessoas.
Portanto, o Google usa as informações obtidas pelas análises das ferramentas SPF, DKIM e DMARC para montar uma base de domínios suspeitos. Sempre que um e-mail é enviado de um desses domínios, ele é recusado ou cai na caixa de spam. Entretanto, neste caso em específico, houve uma falha de verificação dos servidores do Google, que acabaram deixando passar esse e-mail malicioso.
Existe uma forma de evitar isso?
Ao Tecnoblog, o Serviço Federal de Processamento de Dados (Serpro), disse que o órgão conta com “várias ferramentas de barragem de e-mails maliciosos”. Mas, aparentemente, não existe uma forma 100% segura de impedir que um terceiro use o domínio @gov.br para outros fins. A única forma é realmente efetuando o registro nas ferramentas SPF, DKIM e DMARC, conforme explicado no tópico anterior.
:upscale:():format:(jpeg)/@/static/wp/2022/02/03/bc953a7daef5240a219f07555ffe7268-1.jpg?fit=scale)
Em nota a estatal afirmou o seguinte:
“O phishing é um dos golpes mais utilizados na internet, que se vale de técnicas de engenharia social por diferentes meios e discursos. Esse tipo de golpe não afeta o usuário por meio de vulnerabilidades técnicas do sistema. Em vez disso, os usuários são persuadidos a realizarem ações de execução de códigos maliciosos para o fornecimento de informações pessoais.
O Serpro possui várias ferramentas de barragem de e-mails maliciosos, mas ainda não existe uma tecnologia com proteção integral para impedir o uso deste tipo de malware na internet. A cultura de segurança anti-spam entre os usuários é a chave principal para impedir esses ataques.”
Portanto, fica as recomendações de sempre com relação ao recebimento de e-mails. Nunca clique em links suspeitos, nunca preencha formulários ou responda e-mails cujo destinatário possua um endereço estranho ou suspeito. É melhor prevenir do que remediar.
Veja também
Sobre o Autor
Deixe seu comentário