Golpistas estão usando o e-mail com domínio @gov.br para se passar pelo governo federal, em tentativa de enganar brasileiros. A mensagem chega à vítima com um aviso sobre um suposto processo que tramita no Superior Tribunal de Justiça (STJ). No entanto, a ação é, na verdade, um golpe de phishing
sofisticado, e pode levar o usuário a baixar malware de acesso remoto.
O e-mail alega ser uma notificação de “acompanhamento processual” do STJ. No corpo da mensagem, constam duas fotos em miniatura do que parecem ser processos reais — com o brasão da República para dar um ar de legitimidade —, e o texto: “Remetemos,em anexo(sic),detalhes sobre seu processo juridico”.
Os erros de digitação e gramática já levam a entender que não se trata de uma mensagem oficial do STJ. Ao observar o endereço do remetente, também percebe-se que o nome da Corte está invertido: “tribunalsuperiordejustiça@gov.br”.
O golpista oferece dois arquivos para que o usuário ou baixe o processo ou visualize o documento para a impressão. Mas o resultado é o mesmo: uma infecção por um malware, um vírus de computador usado para controlar a máquina da vítima e roubar dados sensíveis.
E-mail @gov.br pode ser usado por qualquer pessoa
Como alguém pode usar um endereço de remetente que pareça mesmo ser legítimo — especialmente se tratando de um domínio relacionado ao governo?
Como aponta o especialista Thiago Ayub, diretor de tecnologia da Sage Networks, o endereço gov.br não é registrável — diferentemente do que seria com algumacoisa.gov.br. Segundo Ayub, o endereço @gov.br não possui entrada TXT SPF, mas não há uma falha do governo, nesse caso: “Nenhum servidor de e-mail bem configurado deveria receber e-mails nessas condições”, explica.
“É como se uma pessoa criasse um perfil de e-mail com o final ‘@com.com.br’. Simplesmente não há nada que impeça alguém de manipular o final do domínio @gov.br para tentar enganar usuários”, afirma Eduardo Schultze, que é líder de Threat Intelligence da consultoria de cibersegurança Axur.
No e-mail recebido por um usuário e enviado ao Tecnoblog, o G Suite, serviço da conta corporativa do Google, não impediu a mensagem maliciosa de chegar na caixa de entrada, dando a entender que aquela mensagem era legítima.
Para impedir mensagens suspeitas e spoofing — prática de falsificação de e-mail — o Google usa dois sistemas de autenticação de remetente: o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail). Cada e-mail enviado a um usuário do Gmail passa pelo processo de verificação feito por essas duas ferramentas.
Para as empresas, além desses dois sistemas, o G Suite possui o DMARC (Domain-base Message Authentication, Reporting and Conformance). Diferentemente do SPF e do DKIM, essa ferramenta ajuda empresas a registrarem domínios e evitarem spoofing. Desta forma, por exemplo, uma pessoa comum não pode criar um e-mail com o nome de uma operadora de banda larga e enviar boletos de cobrança em seu nome.
Leia Também
Mas já houve casos em que uma falha no servidor de uma empresa foi explorada por usuários. Aconteceu com a Uber: um cliente da empresa alertou que qualquer um poderia explorar a brecha e criar um e-mail falso @uber.com para cobrar por corridas e enganar usuários.
Como os e-mails de spam e phishing são disparados para milhares de alvos simultaneamente, o Google também monta uma base de domínios suspeitos, se baseando nas leituras de mensagens feitas por DKIM, SPF e DMARC. Assim, o Gmail reúne todas essas informações para avisar o usuário do perigo.
Mas o e-mail com @gov.br não foi detectado imediatamente como uma mensagem suspeita — a plataforma coloca uma grande etiqueta vermelha quando isso ocorre. E esse aviso só foi colocado na mensagem cinco horas após o recebimento, no caso de um usuário.
Hacker do @gov.br aluga servidor privado da Linode
Ao analisar as informações do remetente falso com o “@gov.br”, é possível observar que a mensagem partiu de um servidor privado da empresa Linode, conhecida por oferecer servidores de aluguel.
Portanto, o esquema de phishing não é tão simples; existe uma infraestrutura criada exclusivamente para fazer os ataques e infectar máquinas de usuários. De acordo com Eduardo Schultze, da Axur, o IP da Linode é apenas para mascarar um segundo IP, associado ao arquivo presente no e-mail isca.
O verdadeiro IP do atacante foi criado há pouco tempo, o que dificulta a detecção feita pelas ferramentas do Google. “Ele montou um servidor de e-mail, o configurou e usou para orquestrar os golpes. O usuário, ao baixar o arquivo, o baixa desse segundo IP. É até possível que o malware esteja dentro desse endereço”, explica Schultze.
Em nota ao Tecnoblog, a Linode apontou que os termos de serviço da empresa proíbem o uso de servidores alugados para phishing. “O time de Segurança e Confiança da empresa investiga todo e qualquer abuso relatado”, disse a empresa de TI. A Linode não confirmou se o hacker foi banido e teve o uso de seu servidor suspenso.
Ataque usa Trojan que controla dispositivo remotamente
Segundo a análise de Alisson Moretto, Malware Researcher na Axur, o malware que o e-mail transmite é um RAT (Remote Access Trojan).
Esse vírus é capaz de infectar o dispositivo da vítima e, a partir do download, controlá-lo remotamente. Segundo o catálogo de softwares maliciosos da Kaspersky, o RAT é classificado como extremamente perigoso porque permite ao hacker controlar a webcam, monitorar dados do teclado — ele decodifica o que você escreve —, e permite a instalação e desinstalação de programas.
Apenas algumas versões de sistemas operacionais são capazes de reconhecer o controle remoto do hacker. O Windows 10 avisa o usuário caso isso ocorra, mas o Windows 7, por exemplo, não reconhece o vírus.
Ao analisar as capacidades dos antivírus em lidar com o RAT, apenas 9 de 67 softwares identificaram o malware como uma ameaça ao sistema. Ao Tecnoblog, Moretto aponta: "Como ele é um software de acesso remoto, muitos antivírus não vão detectar nenhuma ‘anormalidade’. Esse tipo de programa é usado para revisão técnica, suporte e outras atividades consideradas ‘padrão’, o que dificulta a identificação do RAT".
Serpro não diz se pode colocar @gov.br como suspeito
O Serpro (Serviço Federal de Processamento de Dados), empresa de TI do governo federal, alega que nem todos os domínios da União são administrados pela estatal. Alguns setores do governo controlam a atividade de seus próprios endereços de e-mail, segundo o Serpro.
Quando questionado sobre o golpe, o Serpro afirmou ao Tecnoblog que contém “várias ferramentas de barragem de e-mails maliciosos”, mas não respondeu sobre o uso do @gov.br. A estatal disse em nota:
"O phishing é um dos golpes mais utilizados na internet, que se vale de técnicas de engenharia social por diferentes meios e discursos. Esse tipo de golpe não afeta o usuário por meio de vulnerabilidades técnicas do sistema. Em vez disso, os usuários são persuadidos a realizarem ações de execução de códigos maliciosos para o fornecimento de informações pessoais."
"O Serpro possui várias ferramentas de barragem de e-mails maliciosos, mas ainda não existe uma tecnologia com proteção integral para impedir o uso deste tipo de malware na internet. A cultura de segurança anti-spam entre os usuários é a chave principal para impedir esses ataques."
Por fim, a estatal alerta para que o usuário não clique em links suspeitos, não preencha formulários ou responda a e-mails com destinatários estranhos. “Caso seja necessário se comunicar com alguém da mensagem suspeita, isso deve ocorrer por canais oficiais”, completou o Serpro.
A reportagem questionou a empresa sobre a possibilidade de colocar o domínio @gov.br em uma lista de endereços suspeitos, mas não houve resposta até o horário de publicação.
*Atualização em 2/02 às 22h23: o texto original sugeria que o governo teria algum controle sobre o registro do endereço @gov.br, o que não é o caso. A matéria foi alterada para corrigir a informação a partir de comentários de nossos leitores na Comunidade do Tecnoblog.