Há um novo tipo de golpe cibernético que se baseia em uma campanha de phishing distribuída a partir de endereços falsos de e-mail se passando por órgãos públicos, especialmente prefeituras. Esse é um alerta dado pela empresa de cibersegurança e proteção de dados ISH Tecnologia.
O conteúdo dos e-mails leva as vítimas a instalarem malware clicando em notas fiscais ilegítimas. Uma vez estabelecido na máquina da vítima, esse programa malicioso fica dormente até a hora oportuna para ser executado.
Leia também:
- Ransomware Nokoyama ataca vulnerabilidades do Microsoft Exchange
- Dia da senha: estas são as dez senhas mais comuns no Brasil (não use elas!)
- Como as ‘pegadas digitais’ podem ajudar hackers a se infiltrar em redes de computadores
Conhecido como Ousaban, ou Javali (como é chamado pela empresa de segurança Kaspersky), o malware é usado exclusivamente em golpes bancários no Brasil. Assim que o usuário acessa serviços de pagamento no navegador, como Mercado Pago, por exemplo, ele se conecta a um servidor de controle para roubar credenciais e dados de operações financeiras.
Conforme traz a ISH Tecnologia, primeiramente, a vítima recebe um e-mail com remetente de nome bem genérico de “Prefeitura Municipal”, carregando o conteúdo de phishing. Seus assuntos seguem um padrão “Emissão de NF-e (Nota Fiscal Eletrônica)”, acompanhados de número de pedido do documento, data e hora do pedido e links para visualização da nota.
“Neste exemplo, já conseguimos ver alguns sinais de que não se trata de uma mensagem legítma”, explica Alexandre Siviero, especialista em cibersegurança da ISH Tecnologia. “Ainda que o nome do remetente soe oficial, notamos que a cidade não foi informada, e como o endereço de e-mail são palavras aleatórias. Uma comunicação real do poder público não omitiria essas informações”.
Os hyperlinks no conteúdo de e-mail sugerem que a nota fiscal mencionada está disponível em dois formatos. Só que quando a vítima clica em qualquer um deles, ela é encaminhada para uma mesma página, demonstrada abaixo:
Esse endereço inicia o download de um arquivo comprimido (.zip), que contém um instalador do Windows (.msi) de mesmo nome. Se a pessoa iniciar (autorizar) a instalação do arquivo, sua máquina será infectada pelo malware Ousaban/Javali.
“Novamente, veja como, ainda que o visual do site pareça legítimo, seu endereço não”, analisa Siviero. “Um órgão oficial jamais deixaria algo assim passar, até mesmo por uma questão de responsabilidade, uma vez que diversos golpes utilizando seu nome são aplicados, como é exatamente este caso”.
Phishing também na restituição de Imposto de Renda
Outro golpe detectado pela ISH Tecnologia utilizando o Ousaban usa phishing em assuntos relacionados ao Imposto de Renda. Siviero ressalta que este é um caso que requer mais atenção, uma vez que estamos em período de declaração do documento (prazo final para envio é 31 de maio de 2022).
Ou seja, um ataque pode se esconder mais facilmente entre comunicações legítimas. De qualquer forma, o funcionamento desse golpe é bem semelhante ao que se baseia em notas fiscais de prefeitura. O e-mail parece oficial, mas um olhar um pouco mais cuidadoso repara no endereço com caracteres aleatórios.
Além disso, há no conteúdo um botão e um link auxiliar que redirecionam a pessoa para um site falso. Assim que a página abre, acontece o download do malware e, novamente, a vítima precisa, ela mesma, iniciar a instalação.
As boas práticas são a melhor prevenção
Siviero explica que, por se tratar de um golpe que “necessita” que a vítima clique no link, não existe uma única solução a ser adotada para evitá-lo, mas sim uma série de boas práticas. “A chave está em prestar atenção nos sinais: sejam endereços que soam suspeitos e/ou aleatórios, ou notas fiscais de aquisições que você não se lembra de ter realizado”.
O especialista também reforça a necessidade de prestar atenção nos formatos dos tais “documentos” que os golpistas inserem nos e-mails de phishing. Por exemplo, caso o e-mail indique que o conteúdo a ser baixado trata-se de um PDF, e o que de fato aparece nos downloads não é isso, trata-se de um ataque (como nos dois casos expostos, onde o que é visto é uma pasta em formato .zip, e nenhuma nota fiscal).
Siviero ainda frisa que, na dúvida, é sempre melhor consultar uma fonte oficial para se certificar. “O trabalho será maior, mas recompensará, por evitar o que pode ser uma tremenda dor de cabeça”, conclui o especialista.
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Imagem: wk1003mike/Shutterstock
Tags: