Desde o ínicio da semana, 23 de outubro, muitos utilizadores têm recebido uma mensagem de e-mail enganadora que tem como objetivo persuadir os utilizadores a adquirirem registos Domain Name System (DNS) de diferentes top level – .info, .eu e .net.
Os emails têm sido enviados com o seguinte assunto: “Seu nome de domínio foi reivindicado“, com origem em @dnsportugal.org.
Figura 1: Exemplo de e-mail recebido pelas vítimas da campanha.
No e-mail, é destacado que após a aquisição do novo domínio (p.ex., .info), ele será automaticamente redirecioando para o website oficial (aquele que é da posse da vítima).
Recebemos uma solicitação para o registro do site www.___.eu O nosso sistema mostra que é o proprietário de www.___.com Isso pode ter consequências de longo alcance para si no futuro. Estamos, portanto, sob a obrigação estatutária de contactá-lo, a fim de lhe oferecer o primeiro direito de registo. Isso significa que rejeitaremos a aplicação do terceiro e do site:
www.___.eu
Após acordo, vamos ligar este site a:
www.___.com
Ao que parece, os criminosos têm feito um varrimento a endereços DNS (.PT e .COM), realizado também uma recolha de e-mails associados ao domínio (p.ex., [email protected]; [email protected]; [email protected]; [email protected]) e enviado o email malicioso na tentativa de aliciar a vítima a adquirir um novo domínio — na verdade, tudo isto não passa de uma farsa.
Para corroborar a malvadeza deste esquema, são também visiveis alguns erros ortográficos no corpo do email — uma caraterística comum em campanhas desta linha.
A aplicação foi feita em Lisbao.
No website fraudulento da campanha, os criminosos oferecem um tipo de serviço baseado nos seguintes produtos:
- Registo de nome de domínio;
- Registo de marcas; e
- Mardas registadas EU.
Figura 2: Produtos oferecidos na campanha maliciosa.
Na página “Sobre nós”, os autores dizem ainda que:
“A DNSI foi fundada em 2009 no coração de Londres. O sistema de Madrid (oficialmente o sistema de Madrid para o registo internacional de marcas) é o principal sistema internacional que facilita o registo de marcas em múltiplas jurisdições em todo o mundo. A base legal foi formada pelo acordo multilateral de Madrid de 1981 para o registo internacional de marcas, bem como pelo protocolo estabelecido para o Acordo de Madrid (1989).
A DNSI garante que a lei de marcas registadas permanece simples e acessível. Utilizamos um sistema automatizado online que atende aos padrões internacionais.“
Atentando a página de contactos, os autorores do website fraudulento anunciam uma morada fictícia, em Lisboa, e que é respeitante a um escritório virtual da Regus (Figura 3) — uma entidade que oferece escritórios virtuais em todo o mundo. Também não está disponível qualquer informação de contacto.
Figura 3: Morada fictícia.
Os endereços de emails têm como origem uma conta do office365 de um servidor da Microsoft geo-localizado nos EUA (como é possível observar na imagem abaixo.)
Sugere-se alguma cautela a todos os utilizadores que receberem este tipo de e-mails. Infelizmente não existem ferramentas de forma a evitar campanhas desta natureza.
De forma a conter a ameaça, as empresas podem definir regras de entrada nos mail servers de forma a descartar emails recebidos do remetente malicioso: “[email protected]”.
Mantenha-se em alerta.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.