Tag Archives: spam

Heartbleed ????????????????

      No Comments on Heartbleed ????????????????

寄稿: Binny Kuriakose

シマンテックは最近、Heartbleed 脆弱性に便乗したフィッシングメールを確認しました。このフィッシング攻撃は、米軍関係の保険サービスを装って Heartbleed 脆弱性に関するメッセージを送信し、情報を収集しようとします。

Heartbleed は最近発見されたセキュリティ脆弱性で、OpenSSL のバージョン1.0.1 から 1.0.1f に影響します。この脆弱性は OpenSSL 1.0.1g で修正済みです。脆弱性の詳細や対処方法については、シマンテックのセキュリティアドバイザリーを参照してください。

スパマーやフィッシング攻撃者は、最新のニュースや話題を利用してペイロードを偽装します。フィッシングメールでは多くの場合、セキュリティに関する懸念につけ込んで、ソーシャルエンジニアリングの手口を本物らしく見せようとします。電子メールに仕込まれたペイロードによって、受信者が機密情報を漏らすように仕向けるのです。

今回の場合、次のような電子メールが送られてきます。

 figure1_phish_0.png
図 1. Heartbleed 脆弱性に便乗したフィッシングメール

この例には、興味深い特徴がいくつかあります。

  • X-Mailer ヘッダーを見ると、送信者が使っている電子メールクライアントが非常に古いもの(Microsoft Outlook Express 6.00.2600.0000)だと分かります。多くのユーザーが依然として古い電子メールクライアントを使っていますが、最新のオンラインビジネスでそのような電子メールクライアントを使ってセキュリティに関する通知を送信することはほぼありません。
  • 「has initiate」という文法上の誤りがあります。攻撃者は、最新の話題をいち早く悪用して新しいフィッシング攻撃を実行しようと焦るため、文法の間違いを犯しがちです。また、送信者の母国語が英語ではないことも珍しくありません。
  • さらに、このフィッシングメールは有名な米軍関係の保険サービスからのセキュリティ警告と称しているにもかかわらず、掲載されている「ログイン」リンクをクリックすると、実際には危殆化したトルコの製造業社のサイトにアクセスします。

以上は、フィッシングメールの判断基準のすべてではありませんが、フィッシング攻撃にありがちな間違いや矛盾を示しています。

Heartbleed に関するアドバイザリーで詳しく説明しているように、個人情報の提供や更新を要求する電子メールには警戒するようにしてください。また、そのようなメッセージに含まれるパスワードリセットやソフトウェア更新のリンクは、決してクリックしないでください。個人情報の更新や変更が必要な場合は、該当する Web サイトに直接アクセスして実行することをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Symantec Alerta para Golpe Online que Promete Dietas Milagrosas a Partir do Twitter

A Symantec chama atenção para a mais recente ameaça online que usa o chamariz da “dieta milagrosa” para aliciar internautas descuidados, usuários das redes sociais. De acordo com a companhia, o golpe consiste em atrair indivíduos ávidos para emagrecer a clicarem em links que prometem dietas eficazes e revolucionárias, para então, redirecioná-los a páginas promocionais e convencê-los a comprarem os produtos.

Neste contexto, os criminosos virtuais preferem os meios sociais de comunicação para tentar atrair um maior número de usuários, expor suas identidades e obter ganhos financeiros. De acordo com o Relatório Anual da Symantec sobre Ameaças à Segurança na Internet, durante 2013, mais de 552 milhões de identidades foram expostas na Internet por meio de ataques virtuais.

No caso específico desta ameaça, a Symantec destaca o grande número de sites e contas do Twitter que foram comprometidas e utilizadas pelos cibercriminosos para espalhar o SPAMs maliciosos por meio da Engenharia Social. Um dos exemplos de ataques online ocorreu na página projetada para parecer idêntica ao site oficial da Women’s Health.

Figure2_6.png

 

Figura 1. Página promocional falsa projetada por criminosos virtuais.

Nesta recente campanha, contas pertencentes a atletas, políticos, produtores de televisão, blogueiros, comediantes e outras figuras públicas foram comprometidas e possibilitaram aos hackers atingirem centenas de milhares de seguidores de cada perfil. As celebridades são alvos frequentes, procuradas pelos criminosos para ajudar atrair mais vítimas e aumentar as chances de convencer alguém a clicar em seus links e talvez até mesmo comprar o produto que propõe grandes perdas de peso.
Figure3_4.png

Figura 2. Contas comprometidas de duas figuras públicas: a primeira, de um jogador de futebol americano e, a segunda, de uma modelo dos Estados Unidos.

Arquitetura Social e Pinterest como Alvo

Além do Twitter, o Pinterest também foi vítima do ataque. Há algumas semanas, o TechCrunch publicou um artigo sobre ameaças sociais, já que uma das contas de sua co-editora foi comprometida e usada para divulgar fotos sobre sua perda de peso. Com base em pesquisa realizada pela Symantec foi possível identificar que as descrições das imagens e dos sites comprometidos, que atuam como direcionadores do golpe, são iguais aos usados na campanha maliciosa direcionada por meio do Twitter. Por isso, acredita-se que ambas estejam conectadas aos mesmos criminosos virtuais.  Para que os internautas não sejam vítimas de crimes virtuais por meio das redes sociais, a Symantec oferece as seguintes dicas de comportamento online seguro:

Para usuários comuns:

  • Utilize senhas fortes e diferentes em seus dispositivos e perfis sociais;
  • Não acesse ou compartilhe links duvidosos e suspeitos que chegam no e-mail ou no perfil social;
  • Sempre opte por portais seguros e oficiais seja para navegação ou compras online;
  • Faça constantemente uma inspeção nos seus computadores e aparelhos em busca de vírus e malware – softwares de segurança como o Norton 360 Multi-Devices lhe ajudam nesta proteção.

Para donos dos sites:

  • Usar a versão mais recente de seu sistema de gerenciamento de conteúdo;
  • Sempre aplique todos os patches de segurança;
  • Atualize as extensões do portal;
  • Reveja as permissões do diretório em seus servidores web.

Para mais informações acesse este blog post ou entre em contato com a agência de comunicação da Symantec para agendar uma entrevista com algum porta-voz da companhia.

Facebook is spring cleaning your News Feed

Last year, Facebook had the dubious honor of containing more spam than other social networks. In order to combat this scourge, Facebook recently announced a series of  improvements to the News Feed to help ensure that spammy content does not drown out the posts that people really want to see from friends and Pages they […]

Phishers Pump out Heartbleed Attacks

      No Comments on Phishers Pump out Heartbleed Attacks

Contributor: Binny Kuriakose

Symantec has recently detected phishing emails related to the Heartbleed Bug. The phisher attempts to gather information by posing as a US military insurance service with a message about the Heartbleed bug.

The Heartbleed bug is a recently discovered security vulnerability affecting OpenSSL versions 1.0.1 to 1.0.1f. This vulnerability was fixed in OpenSSL 1.0.1g. Symantec’s security advisory gives more details on the bug and offers remediation steps.

Spammers and phishers are known to use trending news and popular topics to disguise their payloads. In the case of phishing emails, phishers often cite security concerns to legitimize and disguise their social engineering methods. The payloads of these emails attempt to compel the messages’ recipients into divulging sensitive information.

In this case, the phishers send the following email.

 figure1_phish_0.png
Figure 1. Preview of the Heartbleed phishing mail

There are several interesting attributes of this example which should be pointed out. 

  • According to the X-Mailer header, the sender is using a very old mail client (Microsoft Outlook Express 6.00.2600.0000). Although there are plenty of users still utilizing old email software, it is highly unlikely that a modern online business would be using a desktop mail client to send out security notifications.
  • Notice the unusual grammar with the usage of “has initiate”. Often, phishers will attempt to quickly capitalize on a new topic. In doing so, they will usually make grammatical errors due to the pressures of sending out a new phishing campaign as soon as possible. Also, phishing emails are often sent by people who don’t speak English as their first language.
  • Additionally, the phishing email purports to be a security alert from a reputable US military insurance service but contains a “Sign In” page that actually points to a compromised Turkish manufacturing site.

Although this is not an exhaustive list of identifying factors for phishing emails, it highlights some of the irregularities and inconsistencies often seen in phishing campaigns.

As detailed in the official Symantec Heartbleed Advisory, Symantec warns users to be cautious of any email that requests new or updated personal information. Users should not click on any password reset or software update links in these messages. If users need to update or change their personal information, it is best to do so by directly visiting the website.

Aprovechan Interés en Adopción de Bebés para Estafas Electrónicas

Una variación de la popular estafa cibernética 419 (419 email scam) está siendo usada por defraudadores electrónicos para aprovecharse de parejas desesperadas por adoptar un niño(a). Una vez que los interesados han sido cuidadosamente involucrados en un proceso de adopción falso, se les pide dinero para cubrir los trámites legales y administrativos.

Aunque los más recientes fraudes 419 se basan principalmente en la inocencia de las víctimas (más que en la ingenuidad por parte de los spammers, quienes distribuyen los correos), algunos defraudadores están empezando a hacer mayores esfuerzos por comunicarse directamente con la víctima para ganarse su confianza. La investigación que hizo Symantec sobre este tipo de fraudes electrónicos reveló que están bien preparados, se presentan de forma convincente y pueden tomar hechos de la vida real para hacer que sus historias sean más creíbles y más coherentes ante cualquier sospecha. 

Aunque los fraudes de adopciones falsas ya se habían visto antes, en esta ocasión Symantec observó detalles de antecedentes de la vida real y a defraudadores que hacen un gran esfuerzo por enganchar a sus víctimas.

Fig1_9.png

Figura 1. Correo fraudulento sobre tema de adopción usado para fraude en línea

En lugar de usar historias comunes, donde se ofrece un premio de lotería en el extranjero o se habla de un líder africano que está por morir, este tipo de estafas tiene un enfoque diferente. Por ejemplo, en el correo que Symantec identificó había muchas señales que indicaban que era un fraude, como que, por ejemplo, el mensaje se envió a destinatarios ocultos (a través de cuentas de correo hackeadas, originarias de Hungría pero enrutadas a través de Italia) y el correo requería responder a un proveedor de correo diferente. Estas son características típicas de un fraude donde suele hablarse de una cantidad de dinero inicial, así que decidimos investigar a fondo para averiguar cómo el defraudador pretendía pedir el dinero.

En un intento por hacer que todo pareciera lo más legítimo posible, el estafador cibernético nos hizo pasar por varias etapas antes de finalmente pedir que enviáramos dinero. Durante nuestro intercambio de mensajes –que consistió de 11 correos electrónicos durante dos meses- nos informó con gran detalle sobre la historia de la madre y nos explicó sobre las regulaciones que tienen que ver con una adopción privada e independiente. Incluso nos enviaron un formato falso de adopción, junto con fotos del bebé.

Fig2_4.png

Figura 2. Fotos de bebés ofrecidos en adopción forman parte de esta campaña de estafas 419 

fig3_1.png

Figura 3. Formato de adopción falso usado para ganarse la confianza de la víctima 

Cuando el defraudador finalmente decidió pedirnos dinero, se nos solicitó que enviáramos $2,500 dólares para cubrir la “Cuota para la Preparación de la Orden del Tribunal y Documentación”. Esto debía realizarse en un primer pago de $1,500 dólares y otro de $1,000 mediante transferencias electrónicas. Es probable que el defraudador pidiera los pagos de esta manera para que la transacción pareciera más legítima y tuviéramos más confianza.

Fig4_3.png

Figura 4. El defraudador solicita el dinero por la adopción del bebé  

Cuando el defraudador proporcionó un nombre y una dirección para recibir el envío del pago, asumimos que esta información era falsa. Sin embargo, buscamos la dirección y esto nos llevó a un descubrimiento sorprendente.

La dirección de la persona a quien deberíamos pagarle era la de un abogado legítimo de Asuntos Familiares y Adopciones (que no tenía nada que ver con este tipo de fraude cibernético). Esto es algo diferente pues generalmente la mayoría de los defraudadores usan un nombre falso, sin embargo, robar la identidad de una persona real puede hacer que el fraude parezca más convincente. La posible víctima, sospeche algo o no, puede buscar el nombre y confirmar que se trata de un abogado legítimo que labora en Estados Unidos. Así que todo parece ser congruente y entonces envían el dinero y con eso se convierten en una víctima consumada del fraude.  

La ejecución de este fraude cibernético relacionado con el tema de una adopción muestra un nuevo enfoque por parte de los estafadores 419, algunos de los cules han regresado al punto de origen en su enfoque. En una entrevista con The Economist hace dos años, revelé como algunos defraudadores de este tipo han pasado de enviar mensajes de fraude que parecen oficiales y legítimos a misivas mucho menos profesionales donde se ofrecen grandes cantidades de dinero en escenarios poco probables. Ninguna de estas estafas son muy sofisticadas porque los defraudadores buscan víctimas que se “auto-eligen”.

Este ejemplo de estafas en línea sirve para recordar a los usuarios que no en todos los fraudes donde se pide dinero por adelantado son intentos por lograr que la víctima más crédula caiga en ellos. Algunos defraudadores usan tácticas creativas (como ésta, que durante meses tuvo detalles de antecedentes convincentes y formatos que parecían oficiales). De esta forma, no hay duda de que la imaginación de los estafadores cibernéticos y su creatividad seguirán evolucionando.

??????????????????????????????

      No Comments on ??????????????????????????????

寄稿: Azam Raza

イースターは他の祝祭日と同様に歓喜で迎えるべき日ですが、プレゼントやショッピングを楽しみ、お祭り気分の広がる日でもあります。しかし、この祝日に広がるのはお祭り気分だけではありません。スパマーもその手練手管を駆使し始めており、イースターに向けてスパムの件数も急増しています。

シマンテックは毎年、イースターにちなんでさまざまなカテゴリのスパムを確認していますが、今年も例外ではありません。シマンテックがこれまで何年にもわたって確認してきたスパムと、今年見つかったサンプルから、何種類かご紹介します。

模造品スパム
大きな祝祭日にはプレゼントが付きものとあって、商品紹介スパム、特に模造品スパムはシマンテックが確認しているなかでも最も目立つカテゴリです。模造品スパムでは、偽物の高級腕時計や宝石類が、目を引くような件名や商品写真を使って宣伝されています。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: “WorldOfWatches” <johnwatson@[削除済み]>
件名: Challenge Ends Easter weekend(イースターの週末、今こそチャンス)

差出人: “DailyPromos” <aacpu@[削除済み]>
件名: Our pick today is- easter14(本日の特選品 – Easter14)

Easter Spam 1.png

図 1. イースターにちなんだ模造品スパム

医薬品スパム
医薬品スパムも、祝祭日が近づくと増えるスパムカテゴリのひとつです。スパムメールには、処方箋不要で医薬品をオンライン購入できると称する医薬品販売サイトへのリンクが掲載されているのが一般的です。リンク先のサイトでは、季節のあいさつ文をバナーに表示して、お祭り気分を煽っています。

Easter Spam 2 edit.png

図 2. イースターにちなんだ医薬品スパム

医薬品スパムの下位カテゴリとしては、ダイエット薬スパムもお馴染みで、複数の言語で確認されています。スパムメッセージで宣伝されているダイエット薬は、認可されている医薬品から、外来植物の薬用抽出物と称するものまでさまざまです。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: “Mackenzie Burns” <monday@[削除済み]>
件名: Begin eating this fruit and lose the fat before Easter Sunday(このフルーツを食べて、今からイースターサンデーまでに脂肪を落とそう)

商品紹介スパム
大手の小売店やブランドショップは、祝祭日に向けてディスカウントやセールを展開しますが、スパマーもそれに便乗しています。スパマーが有名小売店やブランドから発信されたように電子メールを偽装するのは定番ですが、たいていは偽サイトへのリンクが掲載されています。プレゼントのクーポン券進呈を謳う手口も広く使われています。この手のスパムで紹介されている商品は、子供のおもちゃから SUV まで多種多様です。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

件名: Spring Sale Event on all Cars, Trucks, and SUVs!(乗用車からトラック、SUV まで、春の特別セール中!)

差出人: Auto-Dealer-Online <williamw@[削除済み]>

Easter Spam 3 edit.png

図 3. イースターのバナーが表示されている商品紹介スパム

Easter Spam 4 edit.png

図 4. 今年確認されたプレゼントクーポンスパム

名前入りギフト
最近、名前入りギフトが人気を集めており、イースターエッグやイースターバニーに名前とメッセージを入れられると宣伝するスパムがスパマーの間でも流行しています。ほとんどのスパムメールには偽サイトへのリンクが掲載されていますが、なかには不快なコンテンツにリンクされているものもあります。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: Easter Bouquets <rebekkahFAjhLg@[削除済み]>
件名: Make the Easter bunny jealous! Easter flowers(イースターバニーに見せつけちゃおう! イースターに花束を)

Easter Spam 5 edit_0.png

図 5. イースターバニーから子供に名前入りの手紙が届くと謳うスパム

カジノスパム
オンラインカジノやギャンブルを扱ったスパムも祝祭日に増加します。カジノスパムは、サインアップ特典、報酬ポイント、当選のチャンスなどを餌にして被害者を誘います。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: AU_AllSlots @ <AllSlots@[削除済み]>
件名: 25-free spins on Gold-Factory this-Easter(今年のイースターに Gold-Factory スロットでコイン 25 枚分を進呈)

419 詐欺スパム
ナイジェリアスパムは、宝くじの当選金や寄付金などを餌にして、どの祝祭日にも決まって登場します。シマンテックは、孤児院や慈善団体を詐称して不幸な子供への寄付金を募る 419 スパムを確認しています。個人情報を求めてくる迷惑メールは、常に慎重に扱う必要があります。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: suzanne122@[削除済み]
件名: HappyEasterInAdvance,(一足早くハッピーイースター)

その他に今年シマンテックが注目したのは、外国語のイースタースパムの件数です。外国語でイースターにちなんだスパム攻撃は、その多くがプレゼントや商品の紹介であり、カップケーキやジンジャーブレッドの宅配スパムなどが確認されています。

ポルトガル語
差出人: “Cupcake” <contato@[削除済み]>
件名: Páscoa                                                          | 件名: Easter(イースター)

ロシア語
差出人: Пасхи <vamdetal@[削除済み]>                     | 差出人: pasha
件名: Скоро Пасха                                                  | 件名: Almost Pasha(もうすぐイースター)

差出人: Пряники <sladkie.pashi@[削除済み]>           | 差出人: Gingerbread
件名: Кондитерская мастерская                              | 件名: Confectionery masterskaâ(お菓子工房)

シマンテックも、皆さまが素敵なイースターをお過ごしになれるようお祈りしたいと思いますが、こうしたスパム攻撃には十分にご注意ください。祝祭日を悪用した迷惑メールや予期しない電子メールには常に警戒が必要です。疑わしいメールに掲載されているリンクはクリックしないようにしてください。また、スパム対策シグネチャを忘れずに更新して個人情報を保護したうえで、楽しいイースターのひとときを安心してお過ごしください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????? 419 ??

      No Comments on ?????????? 419 ??

養子を熱望している夫婦を狙って 419 詐欺のバリエーションを利用する、新手の詐欺が発生しています。その巧妙な手口に騙されて偽の養子縁組み話に乗ってしまうと、被害者は弁護士費用や行政手続き費用を支払うよう求められます。

最近の 419 詐欺のほとんどは、スパマー自身の独創性ではなく被害者の無防備さに頼っていますが、一部の詐欺師は被害者と直接の対話を進めることで信用を勝ち取ろうと考え始めたようです。十分に調査された手口で説得力もあり、ときには話に信憑性を持たせ、詳しく調べられてもボロが出ないように、実話を拝借する場合さえあります。

偽の養子縁組みを利用する詐欺は、古くからあったようですが、今回シマンテックが確認した事例では、実話のような詳しい情報が使われ、詐欺師は長期にわたって徹底的に被害者との対話を続けようとします。

Fig1_9.png

図 1. 養子縁組み話を悪用する詐欺メール

海外の宝くじに当選した、あるいは裕福なアフリカの指導者が死去したなどという筋書きで前渡し金詐欺を仕掛ける典型的な手口の代わりに、今回の詐欺師は、変わったアプローチを取っています。それでも、詐欺を疑わせる兆候は多く見受けられ、たとえばメッセージは匿名の受信者に宛てて送信されています(ハッキングされた Web メールアカウントが利用されており、発信元はハンガリーですがイタリアを経由しています)。また、別の Web メールプロバイダに返信するよう求めてきます。いずれも、前渡し金詐欺によく見られる特徴ですが、詐欺師がどのような方法で金銭を要求してくるのか実際に調べてみることにしました。

この養子縁組み話に少しでも信憑性を持たせようとして、詐欺師は最終的に送金という段になるまでに、いくつもの手続きを用意しています。メールをやり取りするうちに(11 通の返信が必要で、期間は実に 2 カ月にわたりました)、子供の母親についても詳しく語られる一方、公的な斡旋を利用しない私的な養子縁組みに伴う規則についても説明がありました。さらには、偽の養子縁組み書類と新生児の写真まで送ってくるほど用意周到です。

Fig2_4.png

図 2. 419 詐欺で養子縁組みの対象とされた乳児

fig3_1.png

図 3. 被害者の信頼を得るために用意された偽の養子縁組み書類

最終的に金銭を要求できると詐欺師が判断した段階まで進むと、ユーザーは「裁判所命令の作成ならびに文書費用」に充当するとして 2,500 ドルを要求されます。支払いは、金融機関の電信送金を利用して、1,500 ドルと 1,000 ドルの 2 回に分けて行うよう指示されます。このような支払い方を要求してくるのも、正規の取引であるかのように演出し、被害者がこの詐欺を本物と信じ込むようにするためだと考えられます。

Fig4_3.png

図 4. 詐欺師が養子縁組みの費用を請求してくる

詐欺師が電子送金を受け取るための名前と住所を公開している場合は、その情報も偽物だと考えるところですが、今回示された住所を調べると、驚くべき事実が判明しました。

記載されている受取人の住所は、養子ならびに家族法を扱う弁護士事務所の住所だったのです(もちろん、この弁護士は詐欺とはまったくの無関係です)。ほとんどの詐欺師は、昔からの偽の名前を使って前渡し金詐欺を実行するものですが、実在の人物の身元を乗っ取って使うほうが、詐欺の説得力は増します。標的が無警戒であれば、受取人の名前を探し出して、その人物が本当に米国内で事務所を構えている正規の弁護士だと信じてしまうかもしれません。こういった要素が重なって、最終的にお金を支払うと、新たな被害者の 1 人となってしまいます。

このように養子縁組み詐欺を使うのは、419 詐欺の手口として新たな傾向ですが、詐欺師の一部はちょうど一周して以前の特徴に戻っただけなのかもしれません。筆者は 2 年前のエコノミスト誌によるインタビューで、前渡し金詐欺の詐欺師から送られてくるメッセージが、いかにも正規で本物らしく見える文面から、現実味に乏しいほどの大金で誘う、およそプロらしくない内容に移り変わった経緯を明らかにしました。自ら引っ掛かってしまうような被害者を狙っているため、どの詐欺メッセージも巧妙とはほど遠いものです。

今回の例は、前渡し金詐欺のすべてが、騙されやすい被害者だけを想定して手を抜いたものとは限らないことを思い出させてくれます。なかには、今回の養子縁組みのような作り話に何カ月も掛けて、説得力のある背景情報やそれらしい書類まで用意する創造的な詐欺師もいるということです。詐欺師の想像力と創造性が、これからも進化を続けることは間違いないでしょう。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Prepare-se para os Spams durante a Páscoa

A Páscoa, como muitas outras datas comemorativas, deveria significar um dia de alegria, o que obviamente remete a presentes, compras e festas. Porém, essa animação não é a única coisa que está sendo espalhada neste feriado. Os Spammers também começaram a difundir seu trabalho vicioso. A poucos dias da Páscoa, o volume de Spams cresceu significativamente.

A cada ano que passa, a Symantec observa certas categorias de Spam utilizando a Páscoa como tema central e este ano não foi diferente. Vamos ver abaixo alguns dos diferentes tipos de Spam que a Symantec coleta ano após ano bem como alguns exemplos coletados este ano.

Spams de Bens de Consumos

Com presentes sendo o item mais importante de qualquer data comemorativa, Spam de produtos (especialmente bens de consumo) é a categoria de Spam que a Symantec mais observa. Nesse tipo de Spam, itens como relógios e joias falsificadas  são promovidos usando slogans e belas imagens de produtos. O cabeçalho do e-mail inclui exemplos como:

De: “WorldOfWatches” <johnwatson@[REMOVED]>

Assunto: Desafio termina no fim de semana de Páscoa

De: “DailyPromos” <aacpu@[REMOVED]>

Assunto: Nossa sugestão hoje para a Páscoa 2014

Easter Spam 1.png

Imagem 1: Tema de Páscoa replica bom spam

Spams Médicos e Farmacêuticos

Spams de remédios e farmácias são outra categoria de Spam que vemos muito quando chegamos perto das datas comemorativas. Esses Spams normalmente contém algum link para sites de farmácias que fingem vender medicações online sem a necessidade de receitas médicas. Esses sites normalmente exibem banners festivos para criar um clima mais realista.

Easter Spam 2 edit.png

Imagem 2: Temas médicos de Spam de Páscoa

Spams específicos para quem quer perder peso são uma subcategoria dos Spams médicos que são vistos em muitas línguas diferentes. Medicações para perda de peso exibidas nessas mensagens variam de medicações reconhecidas pelo mercado bem como extratos de ervas e plantas exóticas. O cabeçalho do e-mail inclui exemplos como:

De: “Mackenzie Burns” <monday@REMOVED>

Assunto: Começe a comer essa fruta diariamente e perca gordura antes da páscoa!

Spams de Produtos

Grandes lojas de varejo e marcas oferecem inúmeros descontos e promoções durante as datas comemorativas e os Spammers se aproveitam disso. Spammers geralmente constroem seus E-mails para que pareçam vir de conhecidas marcas e lojas de varejo, mas normalmente eles possuem links redirecionando para sites falsos. Ofertas para cupons de presentes também são muito comuns. Os produtos vistos nesse tipo de Spam variam desde brinquedos até Veículos. O cabeçalho do e-mail inclui exemplos como:

De: Auto-Dealer-Online <williamw@[REMOVED]>

Assunto: Promoção de Outono para todos os carros, Jipes, Caminhonetes e SUVs

Easter Spam 3 edit.png

Imagem 3: E-mail com banner de spam

Easter Spam 4 edit.png

Imagem 4: Spam de cupom de presente de Páscoa

Spam de Presentes Personalizados

Presentes e lembranças personalizadas também estão ficando populares este ano e Spams promovendo mensagens personalizadas em ovos de páscoa e coelhinhos da páscoa está se mostrando popular entre os Spammers. A maioria desses Spams possuem links para sites falsos e alguns deles redirecionam o usuário a sites com conteúdo inapropriado.  O cabeçalho do e-mail inclui exemplos como:

De: Easter Bouquets <rebekkahFAjhLg@[REMOVED]>

Assunto: Deixe o coelhinho da Páscoa com inveja! Flores de Páscoa!

Easter Spam 5 edit_0.png

Imagem 5: Spam personalizado para crianças

Spam de Cassinos

Jogos online e Spams de cassinos aparecem em grande volume durante a época das datas comemorativas. Spams de cassinos provocam as vítimas com bônus na inscrição, recompensas em pontos e chances de ganharem fortunas. O cabeçalho do E-mail inclui exemplos como:

De: <suzanne122@[REMOVED]>

Assunto: Nessa páscoa, jogue gratuitamente no Cassino Gold Factory

Spam de Fraudes

Spams de fraudes monetárias rotinamente dão as caras durante essa época do ano. A Symantec observou muitos Spams fingindo serem de orfanatos ou instituições de caridade buscando doações para os menos afortunados. E-mails desconhecidos pedindo informações pessoais sempre deveriam ser tratados com cuidado. O cabeçalho do E-mail inclui exemplos como:

Português

De: <suzanne122@[REMOVED]>

Assunto: Feliz páscoa adiantado

Outra coisa que nos chamou a atenção esse ano foi o alto volume de Spams de páscoa em outras línguas. O ataque de Páscoa normalmente contém presentes e brindes, como o Spam de entrega de Cupcakes e Ovos de Páscoa mostrados aqui:

Russo

From: Пасхи <vamdetal@[REMOVED]>                   | From: pasha

Subject: Скоро Пасха                                                | Subject: Almost Pasha

From: Пряники <sladkie.pashi@[REMOVED]>         | From: Gingerbread

Subject: Кондитерская мастерская                      | Subject: Confectionery masterskaâ

A Symantec deseja um Feliz Páscoa para todos os seus usuários e também aconselha muito cuidado com essas campanhas de Spams. Sempre tenha atenção com e-mails desconhecidos ou inesperados. Nunca clique em links de e-mails que pareçam suspeitos. Lembre sempre de manter seus softwares de segurança atualizados para lhe proteger e poder lhe fornecer a paz de espírito para comemorar e celebrar uma maravilhosa Páscoa.

Bebês Oferecidos para Adoção em 419 Scam

Uma variação de 419 scam de e-mails está sendo usada por fraudadores para tirar proveito de casais desprotegidos que querem adotar um bebê. Cuidadosamente as vítimas são atraídas para um falso processo de adoção, que em seguida, solicita dinheiro para cobrir despesas jurídicas e administrativas.

Enquanto a maioria dos últimos 419 golpes estão ligados à simplicidade e ingenuidade das vítimas, alguns criminosos online já começam a fazer um grande esforço para se comunicar diretamente com a vítima para conquistar a sua confiança. Os golpes são bem estudados e apresentados de forma convincente, inclusive demonstram histórias de vida real para deixá-los mais autênticos.

Fig1_9.png

Figura 1. e-mail malicioso usando uma história de adoção

Ao invés de usar os discursos mais populares para simular fraudes online usuais, tais como ganhar na loteria ou a morte de uma pessoa famosa, este tipo de fraudador adota uma abordagem diferente. A mensagem acima foi enviada para destinatários ocultos (por meio de uma conta de webmail hackeada originária da Hungria, mas encaminhada a partir da Itália) e exigia uma resposta a um diferente remetente. Estas são características típicas de um golpe de pagamento antecipado. Por isso, a Symantec decidiu investigar mais a fundo para ver como o cibercriminoso pedia dinheiro em troca de um serviço falso.

Com a finalidade de tornar esta narrativa de adoção a mais legítima possível, o fraudador nos fez passar por várias fases antes de, finalmente, chegar ao ponto em que fomos convidados a enviar dinheiro. Durante a nossa correspondência que se estendeu por 11 mensagens de respostas e réplicas de e-mail – durante mais de dois meses – o criminoso digital nos informou com riqueza de detalhes a história da mãe da criança e os regulamentos envolvidos para a adoção privada e independente. Eles ainda foram tão longe a ponto de fornecer um formulário de adoção falso e fotos do bebê.

Fig2_4.png

Figura 2. Fotos dos bebês oferecidos para adoção

fig3_1.png

Figura 3. Formulário falso de adoção usado para convencer as vítimas

Quando o fraudador finalmente decidiu pedir dinheiro, a quantia solicitada foi de US$2.500 para cobrir as taxas de entrada do processo de adoção no tribunal. Inclusive, o cibercriminosos informou a forma de um pagamento em duas parcelas – uma de US$ 1.500 e outra de US$ 1.000 – via transferência bancária eletrônica. O criminoso solicitou que os pagamentos fossem enviados desta forma para a transação parecer mais legítima e a vítima ter mais confiança no esquema.

Fig4_3.png

Figura 4. E-mail do crimonoso virtual pedindo dinheiro

Quando o fraudador fornecia um nome e endereço para receber o pagamento por transferência bancária, assumimos que essa informação era falsa. No entanto, olhando para este endereço, de forma aprofundada, tivemos uma descoberta surpreendente.

O endereço solicitado para o envio era do escritório de um legítimo advogado especializado em adoção e leis familiares (que não possuía nenhuma conexão com este esquema). Isso comprova que a maioria dos criminosos utiliza qualquer nome falso para cometer uma fraude de pagamento antecipado, roubando a identidade de uma pessoa real para a fraude parecer mais convincente. O alvo desavisado pode procurar o nome e confirmar que a pessoa é um advogado legítimo que atua Estados Unidos. Tudo ”faz sentido”, eles enviam o dinheiro e se tornam mais uma vítima da fraude.

A execução deste golpe de adoção sinaliza uma nova abordagem com 419 e-mails de SCAM. Em entrevista à The Economist, há dois anos, foi relevado pela Symantec como alguns fraudadores de pagamento antecipado mudaram a sua abordagem e enviam mensagens de e-mail que parecem legítimos. Nenhuma destas narrativas é muito sofisticada, isto porque os golpistas procuram vítimas que se “auto-selecionam”.

Este exemplo serve como um lembrete de que nem todos os esquemas fraudulentos de pagamento antecipado são tentativas ociosas para obter das vítimas mais ganhos financeiros. Alguns fraudadores usam táticas criativas, como esta narrativa sobre adoção, com convincentes detalhes da vida do bebê e formulários aparentemente oficiais. Não há dúvida de que a imaginação e criatividade dos criminosos vai continuar a evoluir no futuro.

Expect Beautifully Packaged Spam along with Your Easter Gifts!

Contributor: Azam Raza

Easter, like all other celebrations is meant to be a day of jubilation, which of course means gifts, shopping, and spreading cheer. However, cheer is not the only thing that is being spread this holiday. Spammers have also started spreading their handiwork. With just a few days left before Easter, the volume of spam is on the rise.

Each year Symantec observes certain categories of spam using Easter as a theme and this year is no different. Let’s take a look at some of the different types of spam Symantec sees year-over-year, as well as some samples from this year.

Replica goods spam
With gifts being at the core of many major celebrations, product spam (replica goods spam in particular) is the spam category Symantec observes the most. In this spam, items such as fake watches and jewelry are promoted using catchy subject lines and product images. Email header examples include:

From: “WorldOfWatches” <johnwatson@[REMOVED]>

Subject: Challenge Ends Easter weekend

From: “DailyPromos” <aacpu@[REMOVED]>
Subject: Our pick today is- easter14

Easter Spam 1.png

Figure 1. Easter themed replica goods spam

Health spam
Pharmacy or medication spam is another spam category we see a lot of when we get close to any holiday season. These spam mails usually contain links to pharmacy sites which pretend to sell medication online without prescription. Season’s greetings are usually displayed as banners on these sites to add a festive touch.

Easter Spam 2 edit.png

Figure 2. Easter themed pharmacy spam

Weight loss spam is another subcategory of health spam which is seen in multiple languages. Weight loss medicines touted in these messages range from approved medication to stories about herbal extracts from exotic plants. Email header examples include:

From: “Mackenzie Burns” <monday@[REMOVED]>

Subject: Begin eating this fruit and lose the fat before Easter Sunday

Product spam
Major retailers and brands offer large discounts and sales during holiday celebrations and spammers take advantage of this. Spammers often craft their emails to make them appear to be from known retailers and brands but they usually include links leading to fake sites. Offers of gift coupons are also common. The products seen in this type of spam can range from kids toys to SUVs. Email header examples include:

Subject: Spring Sale Event on all Cars, Trucks, and SUVs!

From: Auto-Dealer-Online <williamw@[REMOVED]>

Easter Spam 3 edit.png

Figure 3. Product spam with Easter banner

Easter Spam 4 edit.png

Figure 4. Gift coupon spam seen this season

Personalized gifts
Personalized gifts are getting popular these days and spam promoting personalized messages on Easter eggs and Easter bunnies are proving popular among spammers. Most of these spam mails have links to fake sites and some of them even have links to inappropriate content. Email header examples include:

From: Easter Bouquets <rebekkahFAjhLg@[REMOVED]>

Subject: Make the Easter bunny jealous! Easter flowers

Easter Spam 5 edit_0.png

Figure 5. Spam offering personalized Easter bunny letters for children

Casino spam
Online casino and gambling spam show up in larger volumes during holiday periods. Casino spam entices victims with a signup bonus, reward points, and chances of winning a fortune. Email header examples include:

From: AU_AllSlots @ <AllSlots@[REMOVED]>

Subject: 25-free spins on Gold-Factory this-Easter  

419 scam spam
Nigerian spam routinely makes the rounds during all holiday festivals with news of lucky draws and donations. Symantec has observed 419 spam pretending to be from orphanages and charity organizations asking for donations for the unfortunate. Unsolicited emails asking for personal information should always be treated with caution. Examples of email headers include:

Subject: HappyEasterInAdvance,

From: suzanne122@[REMOVED]

Something else which caught our attention this year is the volume of Easter spam in foreign languages. Easter themed attacks in foreign languages are usually about gifts and goodies, like the cupcake and gingerbread delivery spam shown here:

Portuguese

Subject: Páscoa                                                             |Subject: Easter

From: “Cupcake” <contato@[REMOVED]>

Russian

From: Пасхи <vamdetal@[REMOVED]>                       | From: pasha

Subject: Скоро Пасха                                                    | Subject: Almost Pasha

From: Пряники <sladkie.pashi@[REMOVED]>             | From: Gingerbread

Subject: Кондитерская мастерская                              | Subject: Confectionery masterskaâ

Symantec wishes all our customers a very happy Easter, and we also advise you to be cautious of these spam campaigns. Always exercise caution when dealing with unsolicited or unexpected holiday themed emails. Do not click on links in emails that look suspicious. Remember to update your antispam signatures to safeguard your personal information and give you the peace of mind to celebrate the wonderful Easter celebrations.