Phishing do BPI
09/06/12 17:31 Filed in: Tecnologia
Este caso é invulgar. Porque não é todos os dias que se recebe um phishing com SMTP autenticado e a conta de e-mail de quem o enviou… mas aqui vai a história toda:
Recebi uma mensagem aparentemente vinda do BPI:
Acontece que o BPI usa SPF com “-all” (hardfail), pelo que não me chegaria de todo à caixa de correio:
Mesmo no iPad deu para perceber que a mensagem não vinha do BPI… E claro que a nota de transferência era na realidade um executável (i.e. troiano) e não um PDF...
E até aqui estava tudo “normal”. Eu recebo estas trampas todos os dias. A Internet é perigosa e isso não é novidade nenhuma para quem tenha um olho aberto.
A minha surpresa foi quando fui ver os headers do mail:
O IP é americano (69.162.99.163) mas o envio de e-mail foi autenticado no smtp da “artelecom”. Isto pode significar duas coisas:
-
- Alguém está a usar a conta do José Manuel para fazer relay do mail.
O IP ser americano não me diz nada (qualquer VPN, ou routing por um sistema hackado, faz esse efeito). Eu tentei entrar em contacto com o jose.manuel@unpac.pt (para lhe dizer que “estavam a usar a conta dele”,
O dominio unpac.pt responde na web com:
Parece estar “abandonado”, “hackado” ou a ser “remodelado”, não tenho como descobrir qual... O domínio está registado em nome de:
Estes ataques são perigosos e eficazes. Há vitimas. São crimes. Vai haver pessoas infectadas por este troiano e vão ser lesadas. Ficam os dados para o Ministério Publico / Policia Judiciária poderem investigar quando aparecerem vitimas a queixar-se…
Não consegui deixar de achar que isto era o equivalente informático ao “Small time crooks” do Woody Allen… Ainda por cima a mensagem veio parar a mim… Não fosse tão perigoso para tanta gente e até teria piada.
------------ 10-Jun-2012 15:00 ------------
That is all folks!