Golpistas estão usando o e-mail com domínio @gov.br para se passar pelo governo federal, em tentativa de enganar brasileiros. A mensagem chega à vítima com um aviso sobre um suposto processo que tramita no Superior Tribunal de Justiça (STJ). No entanto, a ação é, na verdade, um golpe de phishing sofisticado, e pode levar o usuário a baixar malware de acesso remoto.
O e-mail alega ser uma notificação de “acompanhamento processual” do STJ. No corpo da mensagem, constam duas fotos em miniatura do que parecem ser processos reais — com o brasão da República para dar um ar de legitimidade —, e o texto: “Remetemos, em anexo(sic), detalhes sobre seu processo juridico”.
Os erros de digitação e gramática já levam a entender que não se trata de uma mensagem oficial do STJ. Ao observar o endereço do remetente, também percebe-se que o nome da Corte está invertido: “tribunalsuperiordejustiç[email protected]“.
O golpista oferece dois arquivos para que o usuário ou baixe o processo ou visualize o documento para a impressão. Mas o resultado é o mesmo: uma infecção por um malware, um vírus de computador usado para controlar a máquina da vítima e roubar dados sensíveis.
E-mail @gov.br pode ser usado por qualquer pessoa
Mas como o governo federal permite que alguém use um endereço de remetente que pareça mesmo ser legítimo? Na verdade, o domínio “@gov.br” não foi registrado pela União como oficial. Isso significa que qualquer usuário comum, bem ou mal intencionado, pode criar uma conta com esse “nome” e usá-la. É importante ressaltar que isso vale apenas para e-mails, e não para o site com domínio gov.br.
“Simplesmente não há nada que impeça alguém de manipular o final do domínio @gov.br para tentar enganar usuários”, afirma Eduardo Schultze, que é líder de Threat Intelligence da consultoria de cibersegurança Axur.
No e-mail recebido por um usuário e enviado ao Tecnoblog, o G Suite, serviço da conta corporativa do Google, não impediu a mensagem maliciosa de chegar na caixa de entrada, dando a entender que aquela mensagem era legítima.
Para impedir mensagens suspeitas e spoofing — prática de falsificação de e-mail — o Google usa dois sistemas de autenticação de remetente: o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail). Cada e-mail enviado a um usuário do Gmail passa pelo processo de verificação feito por essas duas ferramentas.
Para as empresas, além desses dois sistemas, o G Suite possui o DMARC (Domain-base Message Authentication, Reporting and Conformance). Diferentemente do SPF e do DKIM, essa ferramenta ajuda empresas a registrarem domínios e evitarem spoofing. Desta forma, por exemplo, uma pessoa comum não pode criar um e-mail com o nome de uma operadora de banda larga e enviar boletos de cobrança em seu nome.
Mas já houve casos em que uma falha no servidor de uma empresa foi explorada por usuários. Aconteceu com a Uber: um cliente da empresa alertou que qualquer um poderia explorar a brecha e criar um e-mail falso @uber.com para cobrar por corridas e enganar usuários.
Como os e-mails de spam e phishing são disparados para milhares de alvos simultaneamente, o Google também monta uma base de domínios suspeitos, se baseando nas leituras de mensagens feitas por DKIM, SPF e DMARC. Assim, o Gmail reúne todas essas informações para avisar o usuário do perigo.
Leia Também
Mas o e-mail com @gov.br não foi detectado imediatamente como uma mensagem suspeita — a plataforma coloca uma grande etiqueta vermelha quando isso ocorre. E esse aviso só foi colocado na mensagem cinco horas após o recebimento, no caso de um usuário.
Hacker do @gov.br aluga servidor privado da Linode
Ao analisar as informações do remetente falso com o @gov.br, é possível observar que a mensagem partiu de um servidor privado da empresa Linode, conhecida por oferecer servidores de aluguel.
Portanto, o esquema de phishing não é tão simples; existe uma infraestrutura criada exclusivamente para fazer os ataques e infectar máquinas de usuários. De acordo com Eduardo Schultze, da Axur, o IP da Linode é apenas para mascarar um segundo IP, associado ao arquivo presente no e-mail isca.
O verdadeiro IP do atacante foi criado há pouco tempo, o que dificulta a detecção feita pelas ferramentas do Google. “Ele montou um servidor de e-mail, o configurou e usou para orquestrar os golpes. O usuário, ao baixar o arquivo, o baixa desse segundo IP. É até possível que o malware esteja dentro desse endereço”, explica Schultze.
Em nota ao Tecnoblog, a Linode apontou que os termos de serviço da empresa proíbem o uso de servidores alugados para phishing. “O time de Segurança e Confiança da empresa investiga todo e qualquer abuso relatado”, disse a empresa de TI. A Linode não confirmou se o hacker foi banido e teve o uso de seu servidor suspenso.
Ataque usa Trojan que controla dispositivo remotamente
Segundo a análise de Alisson Moretto, Malware Researcher na Axur, o malware que o e-mail transmite é um RAT (Remote Access Trojan).
Esse vírus é capaz de infectar o dispositivo da vítima e, a partir do download, controlá-lo remotamente. Segundo o catálogo de softwares maliciosos da Kaspersky, o RAT é classificado como extremamente perigoso porque permite ao hacker controlar a webcam, monitorar dados do teclado — ele decodifica o que você escreve —, e permite a instalação e desinstalação de programas.
Apenas algumas versões de sistemas operacionais são capazes de reconhecer o controle remoto do hacker. O Windows 10 avisa o usuário caso isso ocorra, mas o Windows 7, por exemplo, não reconhece o vírus.
Ao analisar as capacidades dos antivírus em lidar com o RAT, apenas 9 de 67 softwares identificaram o malware como uma ameaça ao sistema. Ao Tecnoblog, Moretto aponta: “Como ele é um software de acesso remoto, muitos antivírus não vão detectar nenhuma anormalidade. Esse tipo de programa é usado para revisão técnica, suporte e outras atividades consideradas padrão, o que dificulta a identificação do RAT”.
Serpro não diz se pode colocar @gov.br como suspeito
O Serpro (Serviço Federal de Processamento de Dados), empresa de TI do governo federal, alega que nem todos os domínios da União são administrados pela estatal. Alguns setores do governo controlam a atividade de seus próprios endereços de e-mail, segundo o Serpro.
Quando questionado sobre o golpe, o Serpro afirmou ao Tecnoblog que contém “várias ferramentas de barragem de e-mails maliciosos”, mas não respondeu sobre o uso do @gov.br. A estatal disse em nota:
“O phishing é um dos golpes mais utilizados na internet, que se vale de técnicas de engenharia social por diferentes meios e discursos. Esse tipo de golpe não afeta o usuário por meio de vulnerabilidades técnicas do sistema. Em vez disso, os usuários são persuadidos a realizarem ações de execução de códigos maliciosos para o fornecimento de informações pessoais.
O Serpro possui várias ferramentas de barragem de e-mails maliciosos, mas ainda não existe uma tecnologia com proteção integral para impedir o uso deste tipo de malware na internet. A cultura de segurança anti-spam entre os usuários é a chave principal para impedir esses ataques”.
Por fim, a estatal alerta para que o usuário não clique em links suspeitos, não preencha formulários ou responda a e-mails com destinatários estranhos. “Caso seja necessário se comunicar com alguém da mensagem suspeita, isso deve ocorrer por canais oficiais”, completou o Serpro.
A reportagem questionou a empresa sobre a possibilidade de colocar o domínio @gov.br em uma lista de endereços suspeitos por meio de alguma ferramenta como o DMARC, mas não houve resposta até o horário de publicação.