EXCEL
Rotina
Arquivo
PHISHING
Função TIPO
NEW WAY
Ói pessoal
Como estou sempre recebendo e-mail que tentam roubas meus dados, resolvi
fazer essa rotina
Espero que seja útil e possa evitar problemas com a bandidagem
O objetivo é não ser pescado
O anzol tá aí ó, no seu vídeo, esperando por vc!
Essa apresentação já tinha postando-a faz tempo mas resolvi postá-la
novamente e adicionei um e-mail com Phishing de hoje (últimas páginas)
Elazier Barbosa
20 /06/ 2014
Abraços
Pág.
1
EXCEL
NEW WAY
Rotina
Arquivo
PHISHING
Pág.
Função TIPO
2
Ao abrir sua Caixa de e-mail, vc descobre que tem uma mensagem do Banco Itau
Se vc não tem nada a ver com o Banco Itau, fica desconfiado e deleta, ou se ingenuamente fica
curioso e abre a mensagem, vai ter problemas, pois trata-se de um phishing
Digamos que vc tem conta no Itau e aí, as coisas para o ladrão ficam mais fáceis, pois gera
uma normal curiosidade, e podendo resultar na abertura do e-mail.
No entanto Banco algum ou outras entidades financeiras pedem por e-mail, informações sobre
sua conta.
Aliás, vc sabe saldo bancário é confidencial como salário.
Se vc contar, e seu o salário for alto (exceção) o seu amigo vai morrer de inveja
Se o seu salário não é lá essas coisas (o normal) se vc contar vai passar vergonha, né ?
Então cabe simplesmente a ação de deletar
Mas vamos matar nossa curiosidade, começando a analisar o e-mail
EXCEL
NEW WAY
Rotina
Arquivo
PHISHING
Função TIPO
PRIMEIRO PASSO
Posicionar o ponteiro do mouse sobre o endereço grafado no corpo do e-mail
Vc vai ver que o link é a falso
Ele mostra
Mas na realidade o verdadeiro é o do ladrão
Essa a primeira pista de que se trata de um e-mail falso, procurando roubar seus dados
bancários
Poderíamos deletar e parar por aí.Mas vamos continuar e vc se surpreenderá!
Pág.
3
EXCEL
Rotina
NEW WAY
Arquivo
PHISHING
Pág.
Função TIPO
Antes de sequenciar, vamos ver rapidamente o que é PHISHING,
O ladrão está tentando te pescar, que seria fishing em inglês, mas foi adptado para Phishing
Em computação, phishing é uma forma de fraude eletrônica, caracterizada por tentativas de
adquirir fotos e músicas e outros dados pessoais , ao se fazer passar como uma pessoa
confiável ou uma empresa enviando uma comunicação eletrônica oficial. Isto ocorre de várias
maneiras, principalmente por email, mensagem instantânea, SMS, dentre outros.
SEGUNDO PASSO
Leia atentamente o e-mail e vc verificará erros gerados por quem redigiu. Algo inconcebível por
um banco como o Itau, mas ocorrem com frequência nos phishing
Mas acho que a tendência disso e acabar pois eles logo vão aprender a escrever melhor pra
facilitar o roubo. O que eles não fazem pra nos roubar; até aprender português!
4
EXCEL
Rotina
NEW WAY
Arquivo
PHISHING
Função TIPO
TERCEIRO PASS
Clicar com o botão direito do mouse sobre o e-mail.
Não se preocupe, ele não vai abrir
Clicar
Vc verá como o e-mail é montando, digamos, em termos de programação
Temos dois aspectos interessantes quanto ao número IP
Mas antes uma informação rápida sobre o IP
Pág.
5
EXCEL
Rotina
NEW WAY
Arquivo
PHISHING
Pág.
Função TIPO
IP = Internet Protocol
O uso de computadores em rede, tal como a internet, requer que cada máquina possua um
identificador que a diferencie das demais.
É necessário que cada computador tenha um endereço, alguma forma de ser encontrado.
O IP (Internet Protocol) é uma tecnologia que permite a comunicação padronizada entre
computadores, mesmo que estes sejam de plataformas diferentes, identificando-os de forma
única em uma rede.
A comunicação entre computadores é feita através do uso de padrões, ou seja, uma espécie de
"idioma" que permite que todas as máquinas se entendam. Em outras palavras, é necessário
fazer uso de um protocolo que indique como os computadores devem se comunicar.
No caso do IP, o protocolo aplicado é o TCP/IP (Transmission Control Protocol/Internet
Protocol).
Se por exemplo, dados são enviados de um computador para o seu, o emissor precisa saber
seu IP
Da mesma forma vc precisa conhecer o endereço IP do emissor, caso a comunicação exija
uma resposta.
Sem o endereço IP, os computadores não conseguem ser localizados em uma rede.
O ladrão consegue se esconder sob um IP falso. Se olharmos no código-fonte notamos que o
número de IP está em dois lugares. Seja o exemplo real abaixo:
Ou seja, temos o sender mostrado dentro do retângulo vermelho e o Received dentro do azul
O Vermelho pode ser falsificado, mas o azul não é possível. Assim, temos o ladrão disfarçado
no vermelho e identificado no azul.
Nesse caso, o ladrão não se preocupou em falsificar o vermelho. Ambos são os mesmos.
6
EXCEL
NEW WAY
Rotina
Arquivo
PHISHING
Pág.
Função TIPO
Veja já nesse e-mail falso que recebi em 22 ago 2011 do “Santander”, o ladrão
se preocupou em falsificar o endereço do sender
22 ago 2011 Authentication-Results: hotmail.com; sender-id=temperror (sender IP is 212.216.176.109)
[email protected]; dkim=none header.d=toluna.com; x-hmca=noneX-Message-Status:
n:0:nX-SID-PRA: E-mail em nome de Santander <[email protected]>X-DKIM-Result: NoneX-AUTHResult: NONEX-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtTQ0w9NA==X-Message-Info:
EjAihufYesvCjbz7s5S7BR0S7Y+zK66O3NA9HZZdiH4PYFSXzWONfxIy9cFdhb/iomOTOZv3pxhURPptNK5ny
+VAJJpnmieEmSgj9H9DShpJ14exCc0JgTUtvmGhkR8FaLq64WqCQYg=Received: from vsmtp21.tin.it
([212.216.176.109]) by bay0-mc4-f29.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Mon, 22 Aug 2011 08:04:07 -0700Received: from qhmy.net (76.74.146.120) by vsmtp21.tin.it
(8.5.132) (authenticated as [email protected])
id 4E2924FD02183D1F; Mon, 22 Aug 2011 17:04:07
+0200Message-ID: <[email protected]> (added by [email protected])From: "E-mail
em nome de Santander" <[email protected]>To: "elazapater" <[email protected]>Subject:
Infoemail ao clienteDate: Mon, 22 Aug 11 11:00:41 Eastern Daylight TimeMIME-Version: 1.0Content-Type:
multipart/mixed;boundary= "----=_NextPart_000_0071_B8745DC6.C36EA5C6"X-Priority: 3X-MSMail-Priority:
NormalX-Mailer: Microsoft Outlook Express 6.00.2462.0000X-MimeOLE: Produced By Microsoft MimeOLE
V6.00.2462.0000 Return-Path: [email protected]: 22 Aug 2011 15:04:08.0081
(UTC) FILETIME=[BDD4C010:01CC60DC] ------=_NextPart_000_0071_B8745DC6.C36EA5C6Content-Type:
text/htmlContent-Transfer-Encoding: base64 YWJsZT4NCjwvYm9keT4NCjwvaHRtbD4gICAg-----=_NextPart_000_0071_B8745DC6.C36EA5C6—
Eles conseguem através de programa pegar as primeiras letras de um e-mail gerar
milhares de e-mails que vão variando randomicamente as demais letras. Observar
que o nome ficou sem sentido. Esse é outro cuidado que vc deve ter ao receber email. Verifique se o nome grafado é realmente o seu.
QUARTO PASSO
Vamos continuar nosso trabalho Sherloquiano e descobrir de onde vem esse bendito email (possa falar maldito?, que seja maldito então!)
Entrar no endereço abaixo ,via Google
http://www.ip-address-search.info/76.74.5/index.html
7
EXCEL
NEW WAY
Rotina
Arquivo
Função TIPO
PHISHING
Retornar em código-fonte, e copiar o número IP
Entrar novamente no site de busca
Clicar em
e colar o IP que está na memória
Pág.
8
EXCEL
Rotina
NEW WAY
Arquivo
PHISHING
Função TIPO
O IPI verdadeiro vem da França! E o Host name bate com o indicado no e-mail
Essa é a razão pela qual ele não se preocupou em falsificar o IP sender
Só nos resta dizer:
e marcar como Tentativa de phishing ,
deletando o e-mail
Pág.
9
EXCEL
NEW WAY
Rotina
Arquivo
PHISHING
Função TIPO
Pág.
10
Enquanto fazia essa rotina, pra variar recebi outro phishing
Observar que os IP são diferentes
E dito cujo é de Santa Catarina ! Querendo sacanear Paulista, pode?
Observar que quando vc entra no site de busca ele mostra o seu IP
TEMOS DOIS TIPOS DE IP
IP FIXO
Normalmente é oferecido às empresas no plano empresarial, onde o IP é o mesmo
independente do tempo de conexão ou mesmo no caso da desconexão e reconexão.
IP DINÂMICO
Normalmente é oferecido às residências, onde o IP muda de tempos em tempo ou a cada nova
conexão o IP é renovado. Ou seja, o IP da sua residência vai variar de vez em quando
EXCEL
NEW WAY
Rotina
Arquivo
Função TIPO
PHISHING
Pág.
11
Ainda comentando esse segundo phishing, pode-se observar que entrou na minha caixa postal,
mas não tem nada a ver comigo a tal
Cuidado esse caminho é o do inferno!
A linha de pesca dos bandidos tem milhares de anzóis
Todo cuidado é pouco para não se fisgado!
EXCEL
NEW WAY
Rotina
Arquivo
PHISHING
Função TIPO
Pág.
12
Um exemplo de hoje, 20 junho de 2014
Clicar com o botão direito do mouse sobre o e-mail
clicar
EXCEL
NEW WAY
Rotina
Arquivo
PHISHING
Função TIPO
Por não ter e-mail, o ladrão se preocupou em alterar o IP. Eles são iguais,
Seguindo o processo já mostrado, veja de onde vem o e-mail.
Após colar o número do IP, clicar em Lookup (procurar)
Pág.
13
EXCEL
NEW WAY
Rotina
Arquivo
PHISHING
Função TIPO
Pág.
14
Então verificamos que esse e-mail das Notas Fiscais Paulista vem de da cidade de Redmond,
Estados Unidos (rs rs rs ). É onde o ladrão brasileiro hospedou a sua armadilha!
CONCLUSÃO: Clicar Tentativa de phishing