Exemplo de uma mensagem de 'phishing'

Esta, recebi anteontem:

De: Telecom PT <financeiro@telecompt.com>
Para: miguelalmeida(arroba)miguelalmeida.pt
Data: 3 de Novembro de 2009 19:50
Assunto: Comprovante Financeiro
Enviada por: gogdo.de

Exmo. Sr(a). Segue em anexo o comprovante de depósito em conta do ressarcimento do contrato n6662601, Pedimos que verifique se todas as informações e valores estão corretos, pois com a recente greve de nossos funcionários houveram vários erros. Para qual quer esclarecimento de vossa parte não hesite em contactar-nos

Atenciosamente,

Maria Scheffer
Departamento Financeiro
Grupo Portugal Telecom
www.telecom.pt
Av Liberdade, 1266 - Lisboa - Portugal
(+351) 323367911 / 323367900

Comprovante Deposito-30102009 (44kb)

Bem, salta à vista que é mais uma daquelas da treta. Ou, melhor, mais um ataque de phishing. De quê, não sei. Não sei, porque, quando tentei fazer o percurso inverso, o site já estava em baixo. Paciência... : /

Decidi publicar este exemplo para tentar analisar e realçar os aspectos mais interessantes desta mensagem que, na prática, são os sinais que nos fazem tocar o alarme — o alarme interno que nos avisa que alguma coisa é bizarra, anormal. Há muitos (muitas) que já os conhecem; esta mensagem não é para eles (elas): é para terem um exemplo para mostrar à família.

Desmontando as peças:

  1. Logo na primeira linha, duas coisas: (i) é óbvio que o emissor não está familiarizado com o contexto Português — a nossa operadora mais antiga é conhecida por 'Portugal Telecom' ou, mais simplesmente, por 'PT'. A designação 'Telecom PT' é, no mínimo, invulgar; (ii) logo em seguida, o endereço do remetente, termina em '.com'. Ora, este endereço pertence a um domínio internacional. A nossa operadora não utilizaria um endereço terminado em '.com'. Na verdade, os endereços da Portugal Telecom são da forma nome@telecom.pt;
  2. O assunto da mensagem é, na melhor das hipóteses, imbecil. Comprovante Financeiro?? Mas o que é um Comprovante Financeiro?... Estão a ver a ideia? A coisa começa mesmo a soar estranha;
  3. A linha seguinte acaba com todas as dúvidas: Enviada por: gogdo.de. Quer isto dizer, uma empresa cujo nome nos parece estranho, envia-nos uma mensagem a partir de um endereço internacional em '.com' e, como se não bastasse para tocar o alarme, o envio parte de um domínio alemão ('.de'). Nesta altura, já não há dúvidas. Mas vamos ver o resto;
  4. Já no corpo da mensagem, logo no início, percebemos que o remetente não sabe o nosso nome. Caso contrário, não começaria apenas por Exmo. Sr(a).. Depois, continua com a referência a um número de contrato que, provavelmente, nem tem qualquer significado para nós. Mas, enfim, essa até podia passar para quem tem contratos com a PT (mas, ainda assim, é curioso verificar outro detalhe: após o número do contrato, surge uma vírgula antes do início de uma nova frase. Pode ser um preciosismo mas é mais um sinal...);
  5. Seguem-se mais uns quantos pontapés no Português de Portugal, nomeadamente, (i) correto, (ii) de nossos funcionários, (iii) qual quer e, finalmente, (iv) de vossa parte;
  6. A coisa prossegue e, já quase no fim, dois número de telefone, da operadora Portuguesa mais antiga, números em Lisboa, e que começam por... 32?! Ok, o alarme é ensurdecedor : )
  7. Finalmente, a cerejinha no topo do bolo: Lembram-se que, no início, a mensagem indicava-nos que, em anexo, apresentaria o tal comprovante financeiro? Pois é, mas não há, de facto, nenhum anexo. O que há, na verdade, é uma referência, um link, para nos dirigirmos a um outro site, sabem os Deuses fazer o quê... Ou seja, aquela última linha com o texto Comprovante Deposito-30102009 (44kb) — alegadamente, um anexo — só serve para nos conduzir a outro site na internet. Ou para transferirmos uma bicharada qualquer que vai contaminar a nossa máquina. Infelizmente, este site já não funcionava quando fiz o percurso inverso; na verdade, fiquei sem saber o que estava na ponta da linha.

As ideias principais a reter desta história:

  • As mensagens de phishing apresentam, frequentemente, uma linguagem pouco cuidada e com vários erros ortográficos — são sinais de alarme;
  • Mesmo que sejam bem escritas, há outros sinais que devemos considerar, nomeadamente, os endereços de email do remetente — verificar!
  • Se uma mensagem com um conteúdo estranho, nos sugere que vamos ganhar alguma coisa (ou, em alternativa, que não vamos perder se agirmos com urgência), deve ser, provavelmente, uma tentativa de fraude qualquer;
  • Se a mensagem é estranha e nos convida a abrir um ficheiro qualquer, ou, pior, se nos convida a ir a outro sítio na Internet, ok, já está tudo reunido: APAGAR e não seguir coisa alguma;
  • Finalmente, se ainda restarem dúvidas, pensem no seguinte: Conhecem alguém que tenha sido ressarcido pela Portugal Telecom? : ))

Fiquem bem! Mas em alerta ; )